Менеджер тегов Google (GTM) используется хакерами для доставки вредоносных программ, которые похищают номера кредитных карт при оформлении заказа.
~Хакеры активно используют уязвимость для внедрения обфускованного сценария в веб-сайты электронной коммерции на основе Magento. Злонамеренное программное обеспечение загружается через Google Tag Manager, что позволяет им похищать номера кредитных карт, когда клиенты рассчитываются. Скрытый бекдор PHP используется для сохранения кода на сайте и кражи пользовательских данных.
Скимер кредитной карты был обнаружен исследователями безопасности в Sucuri, которые сообщили, что вредоносное программное обеспечение было загружено из таблицы базы данных cms_block.content. Сценарий Менеджера тегов Google (GTM) на веб-сайте выглядит нормально, поскольку вредоносный сценарий закодирован так, чтобы избежать обнаружения.
Исследователи безопасности Sucuri также обнаружили бэкдор-файл PHP. PHP-файлы являются ‘строительными блоками’ многих динамических веб-сайтов, созданных на таких платформах как Magento, WordPress, Drupal и Joomla. Таким образом, PHP-файл вредоносного программного обеспечения после ввода может работать в системе управления содержимым.
Это файл PHP, который идентифицировали исследователи:
./media/index.php.
Согласно совету, опубликованному на веб-сайте Sucuri:
“На момент написания этой статьи мы обнаружили, что по крайней мере 6 веб-сайтов сейчас заражены этим конкретным идентификатором Менеджера тегов Google, что указывает на то, что эта угроза активно влияет на несколько сайтов.~6~~
eurowebmonitortool[.]com используется в этой злонамеренной кампании и теперь заблокирован 15 поставщиками средств безопасности на VirusTotal.”
VirusTotal.com — это краудсорсинговый сервис безопасности, который обеспечивает бесплатное сканирование файлов и действует как агрегатор информации.
Sucuri советует следующие шаги для очистки зараженного веб-сайта:
<цитата>
- “Удалите все подозрительные теги GTM. Войдите в GTM, определите и удалите любые подозрительные теги.
- Выполните полное сканирование веб-сайта, чтобы обнаружить любое другое вредоносное программное обеспечение или бекдоры.
- Удалите любые вредоносные сценарии или бекдор-файлы.
- Убедитесь, что Magento и все расширения обновлены с исправлениями безопасности.
- Регулярно отслеживайте посещаемость сайта и GTM на предмет любой необычной деятельности.”