Google Tag Manager Exploit
Aktuelle Berichte haben einen beunruhigenden Trend aufgedeckt: Cyberkriminelle nutzen den Google Tag Manager (GTM), um Kreditkarten-Skimmer-Malware auf Magento-basierten E-Commerce-Websites zu installieren. GTM, das normalerweise für Website-Analysen und Werbung verwendet wird, wurde manipuliert, um Angreifern dauerhaften Zugriff zu gewähren. Die Malware, die in einem scheinbar normalen GTM- und Google Analytics-Skript versteckt ist, dient dazu, vertrauliche Benutzerdaten zu stehlen.
Inhaltsverzeichnis
Den beschädigten Code enttarnen
Bei der Untersuchung stellten Sicherheitsexperten fest, dass der kompromittierte GTM-Tag eine verschleierte Hintertür enthält. Diese Hintertür ermöglicht es Angreifern, langfristig auf infizierte Websites zuzugreifen. Erste Ergebnisse zeigten, dass sechs Websites mit derselben GTM-Kennung (GTM-MLHK2N68) infiziert waren, diese Zahl ist jedoch inzwischen auf drei gesunken. Die GTM-Kennung, im Wesentlichen ein Container für verschiedene Tracking-Codes und Auslöseregeln, enthielt eine codierte JavaScript-Nutzlast, die als Kreditkarten-Skimmer fungierte.
Die hinterhältige Funktionsweise der Malware
Die Malware wird aus der Tabelle „cms_block.content“ in der Magento-Datenbank ausgeführt. Nach der Aktivierung zielt sie auf die Checkout-Seiten betroffener E-Commerce-Websites ab und sammelt vertrauliche Kundeninformationen wie Kreditkartendaten. Die gestohlenen Daten werden dann an einen externen Server gesendet, der von den Angreifern kontrolliert wird, wodurch herkömmliche Sicherheitsmaßnahmen effektiv umgangen werden.
Eine Geschichte des GTM-Missbrauchs
Dies ist nicht das erste Mal, dass der Google Tag Manager für böswillige Zwecke missbraucht wurde. Bereits im April 2018 wurde GTM für eine Malvertising-Kampagne missbraucht, die darauf abzielte, durch Pop-ups und Weiterleitungen Einnahmen zu erzielen. Dieser jüngste Missbrauch unterstreicht die anhaltenden Risiken, die mit Cyberkriminellen verbunden sind, die beliebte Webverwaltungstools ausnutzen.
Rechtliche Schritte und Konsequenzen für Cyberkriminelle
Im Zusammenhang mit dem allgemeinen Trend des Zahlungskartenskimmings hat das US-Justizministerium Anklage gegen zwei rumänische Staatsbürger erhoben – Andrei Fagaras und Tamas Kolozsvari. Ihnen wird mehrfacher Betrug mit Zugangsgeräten vorgeworfen, der im Zusammenhang mit einer weitverbreiteten Skimming-Operation im Eastern District von Louisiana steht. Im Falle einer Verurteilung drohen den Verdächtigen bis zu 15 Jahre Gefängnis, hohe Geldstrafen und erhebliche Bewährungsstrafen.
Dieser jüngste Verstoß unterstreicht, wie wichtig es ist, E-Commerce-Plattformen abzusichern und die in Websites integrierten Tools sorgfältig zu überwachen, um Missbrauch zu verhindern.
