Aktor ancaman telah diamati memanfaatkan Google Tag Manager (GTM) untuk mengirimkan situs skimmer kartu kredit yang menargetkan situs web e-commerce yang berbasis di Magento.
Perusahaan keamanan situs web Sucuri mengatakan kode tersebut, sementara tampaknya menjadi skrip GTM dan Google Analytics yang khas yang digunakan untuk analisis situs web dan tujuan iklan, berisi pintu belakang yang terkena yang mampu memberikan akses gigih kepada penyerang.
Pada saat menulis, sebanyak tiga situs telah ditemukan terinfeksi dengan pengidentifikasi GTM (GTM-MLHK2N68) yang dipertanyakan, turun dari enam yang dilaporkan oleh Sucuri. Pengidentifikasi GTM mengacu pada wadah yang mencakup berbagai kode pelacakan (misalnya, Google Analytics, Facebook Pixel) dan aturan yang akan dipicu ketika kondisi tertentu dipenuhi.
Analisis lebih lanjut telah mengungkapkan bahwa malware sedang dimuat dari tabel database Magento “cms_block.content,” dengan tag GTM yang berisi muatan JavaScript yang dikodekan yang bertindak sebagai skimmer kartu kredit.
“Skrip ini dirancang untuk mengumpulkan data sensitif yang dimasukkan oleh pengguna selama proses checkout dan mengirimkannya ke server jarak jauh yang dikendalikan oleh penyerang,” kata peneliti keamanan Puja Srivastava.
Setelah dieksekusi, malware dirancang untuk mencampurkan informasi kartu kredit dari halaman checkout dan mengirimkannya ke server eksternal.
Ini bukan pertama kalinya GTM disalahgunakan untuk tujuan jahat. Pada bulan April 2018, Sucuri mengungkapkan bahwa alat tersebut sedang dimanfaatkan untuk tujuan malvertising.
Pengembangan datang beberapa minggu setelah perusahaan merinci kampanye WordPress lain yang kemungkinan menggunakan kerentanan di plugin atau akun admin yang dikompromikan untuk menginstal malware yang mengarahkan pengunjung situs ke URL berbahaya.
