Hackers usam o Google Tag Manager para roubar números de cartão de crédito
Os hackers estão explorando ativamente uma vulnerabilidade para injetar um script ofuscado em sites de comércio eletrônico baseados em Magento. O malware é carregado via Google Tag Manager, permitindo que eles roubem números de cartão de crédito quando os clientes fizeram o check -out. Um backdoor PHP oculto é usado para manter o código no site e roubar dados do usuário.
O skimmer de cartões de crédito foi descoberto pelos pesquisadores de segurança da Sucuri que aconselham que o malware foi carregado de uma tabela de banco de dados, cms_block.content. O script do Google Tag Manager (GTM) em um site parece normal porque o script malicioso é codificado para evitar a detecção.
Uma vez que o malware estivesse ativo, ele registraria informações de cartão de crédito de uma página de check -out de comércio eletrônico do Magento e o enviaria para um servidor externo controlado por um hacker.
Os pesquisadores de segurança da Sucuri também descobriram um arquivo php backdoor. Os arquivos PHP são os ‘blocos de construção’ de muitos sites dinâmicos construídos em plataformas como Magento, WordPress, Drupal e Joomla. Assim, um arquivo PHP de malware, uma vez injetado, pode operar dentro do sistema de gerenciamento de conteúdo.
Este é o arquivo PHP que os pesquisadores identificaram:
./media/index.php.
De acordo com o consultivo publicado no site da Sucuri:
“No momento da redação deste artigo, descobrimos que pelo menos 6 sites estavam atualmente infectados com esse ID do Google Tag Manager, indicando que essa ameaça está afetando ativamente vários sites.
O Eurowebmonitortool (.) Com é usado nesta campanha maliciosa e atualmente é listada em bloqueio por 15 fornecedores de segurança na Virustotal. ”
Virustotal.com é um serviço de segurança de crowdsourcing que fornece varredura gratuita de arquivos e atua como agregador de informações.
Sucuri aconselha as etapas a seguir para limpar um site infectado:
- “Remova todas as tags GTM suspeitas. Faça login no GTM, identifique e exclua tags suspeitas.
- Realize uma digitalização completa do site para detectar qualquer outro malware ou backdoors.
- Remova quaisquer scripts maliciosos ou arquivos backdoor.
- Verifique se o Magento e todas as extensões estão atualizadas com os patches de segurança.
- Monitore regularmente o tráfego do local e a GTM quanto a qualquer atividade incomum. ”
Leia o Conselho do Sucuri:
Google Tag Manager Skimmer rouba informações do cartão de crédito do site Magento
Imagem em destaque de Shutterstock/SDX15
