Взломщики используют систему Google для захвата интернет-магазинов

Специалисты из компании Sucuri обнаружили нежелательный код для кражи данных кредитных карт на сайтах, работающих на платформе Magento. Вредоносное ПО скрывалось в Google Tag Manager.

Эксперты предупреждают, что как минимум шесть сайтов были взломаны. Киберпреступники использовали Google Tag Manager (GTM) для внедрения вредоносного кода на сайтах Magento и кражи платежных данных клиентов.

Исследователи Sucuri сообщили, что недавно обнаружили такой случай атаки. Помощь обратился один из клиентов после того, как его коммерческий сайт на базе Magento оказался под угрозой кражи данных кредитных карт.

Аналитики выявили, что вредоносный скрипт был внедрён в Google Tag Manager. Этот инструмент должен использоваться для отслеживания посещений сайта, но его злоумышленники адаптировали под нужды кражи конфиденциальной информации.

Google Tag Manager — это бесплатная служба от компании Google, которая позволяет владельцам сайтов и маркетологам легко управлять и внедрять коды отслеживания (теги) на своих сайтах без необходимости вносить изменения напрямую в исходный код.

В ходе атаки злоумышленники скрыли вредоносный скрипт, что затруднило его обнаружение. Скрипт использовался для сбора платежных данных с страницы оплаты и отправки их на удалённый сервер. Кроме того, Sucuri нашла бэкдор, который обеспечивал злоумышленникам постоянный доступ к сайту.

Как минимум шесть веб-сайтов были заражены тем же GTM ID. Один из доменов, используемых в атаке, eurowebmonitortool [dot] com, уже был добавлен во многие чёрные списки безопасности компаний.

Использование Google Tag Manager для доставки вредоносного ПО — не новая тактика. Ранее исследователи описывали этот метод и отметили, что его по-прежнему активно используют злоумышленники.

Magento является популярной платформой среди владельцев интернет-магазинов, поэтому она представляет собой привлекательную цель для киберпреступников. Сведения об оплате весьма ценны для мошенников, так как они могут использовать их для покупки нелегальных товаров или оплаты рекламных кампаний.

Для предотвращения таких атак администраторам сайтов рекомендуется удалить подозрительные теги GTM, провести полную проверку сайта на наличие вредоносного ПО, убедиться, что обновлены как Magento, так и другие расширения. Также следует регулярно мониторить трафик сайта и деятельность GTM на предмет подозрительной активности, советуют специалисты из Sucuri.