Se ha observado que los actores de amenaza aprovechan el gerente de etiquetas de Google (GTM) para entregar malware de skimmer de tarjetas de crédito dirigidas a sitios web de comercio electrónico basados en Magento.
La compañía de seguridad del sitio web Sucuri dijo que el código, aunque parece ser un script típico de GTM y Google Analytics utilizado para fines de análisis de sitios web y publicidad, contiene una puerta trasera ofondeada capaz de proporcionar a los atacantes acceso persistente.
Al momento de escribir, se ha encontrado que hasta tres sitios están infectados con el identificador GTM (GTM-MLHK2N68) en cuestión, por debajo de seis reportados por Sucuri. El identificador GTM se refiere a un contenedor que incluye los diversos códigos de seguimiento (por ejemplo, Google Analytics, Facebook Pixel) y las reglas que se activarán cuando se cumplan ciertas condiciones.
Un análisis posterior ha revelado que el malware se está cargando desde la tabla de la base de datos Magento «cms_block.content», con la etiqueta GTM que contiene una carga útil de JavaScript codificada que actúa como un skimmer de tarjeta de crédito.
«Este script fue diseñado para recopilar datos confidenciales ingresados por los usuarios durante el proceso de pago y enviarlo a un servidor remoto controlado por los atacantes», dijo la investigadora de seguridad Puja Srivastava.
Tras la ejecución, el malware está diseñado para robar información de la tarjeta de crédito de las páginas de pago y enviarla a un servidor externo.
Esta no es la primera vez que GTM ha sido abusado con fines maliciosos. En abril de 2018, Sucuri reveló que la herramienta se estaba aprovechando con fines malvados.
El desarrollo se produce semanas después de que la compañía detallara otra campaña de WordPress que probablemente empleó vulnerabilidades en complementos o cuentas de administración comprometidas para instalar malware que redirigió a los visitantes del sitio a URL maliciosas.