数百个电子商务域感染了基于谷歌标签管理器的撇渣器

Recorded Future 的安全研究人员已经确定了总共 569 个电子商务域感染了浏览器，其中 314 个已经感染了利用谷歌标签管理器 (GTM) 容器的网络浏览器。

GTM 是一种通常用于营销和使用跟踪的合法 Google 服务，GTM 依靠容器将 JavaScript 和其他类型的资源嵌入网站，网络犯罪分子正在滥用 GTM 容器将 HTML 或 JavaScript 代码注入使用 Google 服务的网站。

“在大多数当代情况下，威胁行为者自己创建 GTM 容器，然后注入将它们加载到电子商务域所需的 GTM 加载器脚本配置（而不是将恶意代码注入到由电子商务创建的现有 GTM 容器中）商务网站管理员），“记录未来的笔记。

所有 569 个受撇油器感染的电子商务平台都以一种或另一种方式与 GTM 滥用相关联。虽然 314 人感染了基于 GTM 的 skimmer，但其余 255 人的数据已被泄露到与 GTM 容器滥用相关的域。

截至 2022 年 8 月，仍有 87 个电子商务网站感染了基于 GTM 的撇渣器，被感染的支付卡总数可能在数十万张左右。

在过去两年中，Recorded Future 发现了隐藏在 GTM 容器中的三种主要恶意脚本变体，它们被用作撇取器或撇取器的下载器。其中两个在 2021 年 3 月和 6 月左右投入使用，而最近的一个在 2022 年 7 月之前投入使用。

这些脚本被注入电子商务域以收集访问者的支付卡数据和个人身份信息 (PII)，然后将其泄露到攻击者控制下的服务器。

Recorded Future 解释说，通过利用受感染的 GTM 容器，威胁参与者可以更新恶意脚本，而无需访问受害者域的系统，这有助于防止检测。

此外，管理员可能会将受信任的源域（例如 Google 服务）放在“允许”列表中，这意味着安全应用程序最终可能不会扫描 GTM 容器的内容。撇渣器在受感染的域上平均存在 3.5 个月。

Recorded Future 表示，它已发现超过 165,000 条支付卡记录在暗网卡店出售，这些卡已从受确认的基于 GTM 的攻击感染的平台中泄露出来。

根据这家网络安全公司的说法，三个已识别的基于 GTM 的撇渣器变体已被用于广泛的电子商务领域，包括每月访问量超过 100 万的知名目标，以及每月访问量少于 10,000 的平台。

总部位于美国的公司的域名受到的攻击最多，加拿大、英国、阿根廷和印度位列前五。

原文始发于微信公众号（河南等级保护测评）：数百个电子商务域感染了基于谷歌标签管理器的撇渣器