E’ emerso che i criminal hacker stanno sfruttando Google Tag Manager (GTM) per distribuire skimmer di carte di credito sui siti e-commerce basati su Magento. Gli attacchi, sofisticati e difficili da rilevare, si basano sull’inserimento di codice malevolo all’interno di tag GTM apparentemente legittimi, permettendo agli hacker di rubare informazioni sensibili durante il processo di pagamento.
La segnalazione arriva dai ricercatori Sucuri che hanno pubblicato un rapporto al riguardo.
Come funziona l’attacco
Google Tag Manager è uno strumento comunemente utilizzato per gestire i tag di marketing e tracciamento sui siti web. Gli hacker stanno sfruttando questa funzionalità inserendo codice JavaScript malevolo all’interno di tag GTM, che viene poi eseguito sui siti e-commerce compromessi. Il codice skimmer intercetta i dati delle carte di credito inseriti dagli utenti durante il checkout e li invia ai truffatori.
Le analisi hanno rivelato che il malware viene caricato dalla tabella del database Magento “cms_block.content”, con il tag GTM contenente un payload JavaScript codificato che funge da skimmer per carte di credito.
In pratica il tag <script> carica il falso file JavaScript di Google Tag Manager (GTM), utilizzando l’ID contenitore GTM specificato (GTM-ID) “GTM-MLHK2N68”, secondo il seguente schema <script>http://www.googletagmanager.com/gtm.js?id=GTM-‘ID'</script>
Il codice risulta offuscato tramite mappatura di valori di indice array, operazioni matematiche e codifica Base64.
Implicazioni per la sicurezza
Questo tipo di attacco è particolarmente preoccupante perché utilizza uno strumento legittimo e ampiamente utilizzato, rendendo difficile la rilevazione e la prevenzione. Gli amministratori dei siti e-commerce devono essere estremamente vigili e monitorare attentamente i tag GTM per individuare eventuali anomalie.
Misure di prevenzione
L’attacco tramite Google Tag Manager rappresenta una nuova frontiera nella guerra cibernetica, dimostrando come gli hacker siano sempre alla ricerca di nuovi modi per sfruttare strumenti legittimi a scopi malevoli. La collaborazione tra sviluppatori, esperti di sicurezza e amministratori di siti web è fondamentale per prevenire e mitigare questi attacchi.
