Exploit de Google Tag Manager
Des rapports récents ont révélé une tendance inquiétante : les cybercriminels exploitent Google Tag Manager (GTM) pour déployer des logiciels malveillants de type skimmer de cartes de crédit sur des sites de commerce électronique basés sur Magento. GTM, qui est généralement utilisé pour l'analyse et la publicité de sites Web, a été manipulé pour fournir un accès permanent aux attaquants. Le logiciel malveillant, caché dans un script GTM et Google Analytics apparemment normal, est conçu pour voler des données utilisateur sensibles.
Table des matières
Démasquer le code corrompu
Après enquête, les experts en sécurité ont découvert que la balise GTM compromise contenait une porte dérobée obscurcie. Cette porte dérobée permet aux attaquants de conserver un accès à long terme aux sites Web infectés. Les premières conclusions ont montré que six sites étaient infectés par le même identifiant GTM (GTM-MLHK2N68), bien que ce nombre soit depuis tombé à trois. L'identifiant GTM, essentiellement un conteneur pour divers codes de suivi et règles de déclenchement, s'est avéré inclure une charge utile JavaScript codée agissant comme un skimmer de carte de crédit.
La fonctionnalité sournoise du malware
Le malware est exécuté à partir de la table « cms_block.content » de la base de données Magento. Une fois activé, il cible les pages de paiement des sites de commerce électronique concernés et récupère des informations sensibles sur les clients, telles que les informations de carte de crédit. Les données volées sont ensuite envoyées à un serveur externe contrôlé par les attaquants, contournant ainsi les mesures de sécurité traditionnelles.
Une histoire d'abus de GTM
Ce n'est pas la première fois que Google Tag Manager est détourné à des fins malveillantes. En avril 2018, GTM avait été utilisé à mauvais escient dans le cadre d'une campagne de malvertising visant à générer des revenus via des fenêtres contextuelles et des redirections. Cet abus récent met en évidence les risques persistants associés aux cybercriminels qui exploitent les outils de gestion Web populaires.
Actions en justice et conséquences pour les cybercriminels
Dans le cadre de la tendance générale au vol de cartes de paiement, le ministère américain de la Justice a inculpé deux ressortissants roumains, Andrei Fagaras et Tamas Kolozsvari. Ils sont accusés de multiples chefs d’accusation de fraude aux dispositifs d’accès liés à une vaste opération de vol de cartes dans le district oriental de la Louisiane. S’ils sont reconnus coupables, les suspects risquent jusqu’à 15 ans de prison, de lourdes amendes et une libération surveillée importante.
Cette dernière faille souligne l’importance de sécuriser les plateformes de commerce électronique et de surveiller attentivement les outils intégrés aux sites Web pour éviter les abus.
