Аналитики Recorded Future заметили, что хакеры используют контейнеры Google Tag Manager (GTM) для внедрения электронных скиммеров, которые затем воруют данные банковских карт и личную информацию покупателей на e-commerce сайтах.

GTM используется на тысячах сайтов для сбора различных метрик, отслеживания клиентов и прочих маркетинговых целей. GTM использует контейнеры для встраивания JavaScript и других ресурсов на сайты, а преступники научились скрывать в контейнерах GTM вредоносные скрипты, что позволяет им похищать личную информацию покупателей.

В общей сложности исследователи обнаружили 569 e-commerce доменов, зараженных веб-скиммерами. Согласно отчету, подтверждено, что 314 из них были заражены GTM-скиммерами, а еще 255 отправляли украденные данные на вредоносные домены, связанные со злоупотреблением GTM.

По состоянию на 25 августа 2022 года, почти 90 из этих доменов все еще были заражены, и исследователи говорят, что в среднем для устранения взлома администраторам требуется более трех месяцев.

«В настоящий момент в кардшопах в даркнете размещены данные более 165 000 платежных карт,  принадлежащих жертвам атак, которые связаны с контейнерами GTM, — пишут  исследователи. — Общее количество платежных карт, скомпрометированных с помощью GTM веб-скиммеров, вероятно, будет даже больше».

При этом эксперты отмечают, что, судя по обсуждениям в даркнете, злоупотребление GTM началось еще в 2018 году, и уже тогда использовалось различными хак-группами.

«Впервые мы сообщили о злоупотреблении GTM в отчете от 2021 года, и GTM активно эксплуатируют по сей день. В некоторых случаях используются те же вредоносные GTM-бакеты, о которых сообщалось еще в прошлом году. Мы считаем, что эксплуатация GTM останется неизменной, если Google не исправит проблему и не внедрит активное сканирование для обнаружения пейлоадов скиммеров внутри GTM- бакетов», — считают эксперты.

Recorded Future начала отслеживать эксплуатацию трех вариантов GTM-скиммеров еще в марте 2021 года и отмечает, что с тех пор новые зараженные домены появляются каждый месяц.

Первый и третий варианты скиммеров имеют определенное сходство, которое позволяет предположить, что за их созданием стоят одни и те же хакеры, которые регулярно обновляют свои инструменты, чтобы избежать обнаружения.

«Все три варианта используют отдельные скрипты-скиммеры и домены для извлечения данных. Все три варианта в настоящее время используются для активных заражений и развертывались для заражения новых доменов в августе 2022 года, то есть все три варианта представляют риск для e-commerce сайтов и их клиентов», — говорят исследователи.

При этом известно, что хакеры нацелены не только на «дорогие» домены, которые насчитывают более миллиона посетителей в месяц. Некоторые из сайтов, подвергшихся атакам, посещали всего около 10 000 человек.

Большинство пострадавших сайтов базируются в США, на них приходится более 66% заражений. Остальные были обнаружены в  Канаде, Великобритании, Аргентине, Индии, Италии, Австралии, Бразилии, Греции, Индонезии и других странах.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии