犯罪分子利用Google Tag Manager脚本窃取基于Magento的电商网站中的信用卡数据

Sucuri研究人员发现，威胁行为者利用Google Tag Manager（GTM）在Magento电商网站上部署电子窃取器（e-skimmer）恶意软件。

Google Tag Manager（GTM）是一款免费工具，允许网站所有者在不修改网站代码的情况下管理营销标签，从而简化分析和广告跟踪。

Sucuri检查了该网站，发现恶意代码隐藏在网站的数据库（cms_block.content）中，伪装成Google Tag Manager和Google Analytics脚本以逃避检测。

这并不是Sucuri首次记录到利用GTM在电商网站上部署电子窃取器的行为。2024年，专家详细描述了Magecart老手ATMZOW如何利用Google Tag Manager传播恶意软件。研究人员指出，这种策略目前仍被威胁行为者在野外使用。

在报告发布时，三个网站感染了GTM标识符（GTM-MLHK2N68），而Sucuri此前报告了六个网站。

Sucuri表示，在GTM标签中，有一个经过编码的JavaScript有效载荷，充当信用卡窃取器。该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。一旦执行，恶意软件将从结账页面窃取信用卡信息并将其发送到外部服务器。

_0x5cdc函数通过将索引值映射到字符并使用数学运算来混淆代码。攻击者使用Base64编码来伪装恶意脚本。该脚本注入了一个修改后的Google Analytics脚本，以执行隐藏的信用卡窃取器，从而将支付数据外泄到攻击者的服务器。

这种基于GTM的攻击展示了现代恶意软件的复杂性，利用Google Tag Manager等合法平台来部署恶意代码。混淆和编码技术使其特别难以检测，需要深入调查才能揭示其真实目的。

原文始发于微信公众号（黑猫安全）：犯罪分子利用Google Tag Manager脚本窃取基于Magento的电商网站中的信用卡数据