Хакеры внедряют вредоносное ПО через Google Tag Manager
Недавнее расследование хакерского инцидента на веб-сайте электронной коммерции, использующем платформу Magento, выявило новые, изощренные методы, применяемые киберпреступниками для кражи данных кредитных карт. В результате этого инцидента стало очевидным, как легальные инструменты могут быть использованы в злонамеренных целях.
Механизм атаки
Исследование показало, что источником вредоносного ПО стал незаконный скрипт, внедренный через Google Tag Manager (GTM). Этот скрипт был замаскирован под стандартный код отслеживания, используемый для Google Analytics, однако его настоящая цель заключалась в создании скиммера кредитных карт.
Процесс кражи данных
Вредоносный скрипт захватывал конфиденциальную информацию, включая данные кредитных карт, которые пользователи вводили в процессе оформления заказа, и отправлял их на удаленный сервер, контролируемый злоумышленниками. Для реализации этой атаки киберпреступники использовали:
- Таблицу базы данных cms_block.content для загрузки вредоносного кода;
- Запутанную полезную нагрузку JavaScript;
- Функцию eval() для выполнения дальнейших вредоносных действий после расшифровки скрипта.
Обнаружение бэкдора
Наличие бэкдора в каталоге ./media/index.php позволяет предположить, что злоумышленники имели возможность поддерживать постоянный доступ к скомпрометированному сайту, что значительно усложняло устранение неполадок. Показательно, что хакеры применили Google Tag Manager — легальный сервис — для развертывания своих вредоносных скриптов.
Связь с предыдущими инцидентами
Данные методы были связаны с действиями группировки Magecart, в частности инцидентом с ATMZOW в 2024 году, тем самым подчеркивая продолжающуюся тенденцию использования авторитетных платформ для киберпреступных целей.
Меры по устранению инцидента
Для устранения заражения эксперты по кибербезопасности:
- Удалили вредоносные записи из таблицы cms_block.content;
- Очистили все другие скомпрометированные файлы;
- Рекомендовали тщательное сканирование веб-сайта на наличие дополнительных вредоносных программ и бэкдоров.
Особое внимание было уделено:
- Обновлению Magento и его расширений для применения последних исправлений безопасности;
- Регулярному мониторингу посещаемости веб-сайта и GTM на предмет необычных действий.
Выводы и рекомендации
Этот инцидент подчеркивает сложную природу современных хакеров и показывает, как легальные инструменты могут использоваться в злонамеренных целях. Методы обфускации и кодирования, применяемые в этой атаке, значительно усложняют процесс обнаружения, что указывает на необходимость надежных следственных мер в протоколах кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Хакеры используют Google Tag Manager для кражи данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.