Хакеры используют скиммеры для заражения сайтов электронной коммерции.
Согласно новому отчету Recorded Future, хакеры используют контейнеры Google Tag Manager (GTM) для установки скиммеров, которые крадут данные платежных карт и личную информацию покупателей на e-commerce сайтах.
Сайты электронной коммерции используют контейнеры Диспетчера тегов Google для данных о показателях использования веб-сайтов, отслеживания клиентов и маркетинговых целей.
Эксперты Recorded Future обнаружили 3 варианта вредоносных скриптов, которые киберпреступники прячут в контейнерах GTM, что позволяет им эксфильтровать личную информацию покупателей. Исследователи обнаружили более 165 000 записей о платежных картах жертв, которые были размещены на торговых площадках дарквеба.
Согласно отчету, скиммерами заражены 569 доменов. 314 заражены вариантом электронного скиммера на основе GTM, а 255 содержат вредоносное ПО, которое эксфильтрует украденные данные на вредоносные домены, связанные со злоупотреблением GTM. Исследователи также заявили, что в среднем для устранения заражения требуется более трех месяцев.
Злоупотребляя законными инструментами, такими как GTM, хакеры могут обойти ПО безопасности, которое часто не сканирует контейнеры GTM, потому что администраторы веб-сайтов обычно вносят в белый список доверенные исходные домены, особенно те, которые исходят от Google.
Recorded Future заявила, что начала отслеживать использование трех вариантов электронного скиммера на основе GTM с марта 2021 года и отметила, что с тех пор новые зараженные домены появляются каждый месяц.
По словам специалистов, все 3 варианта используют отдельные скрипты электронного скиммера и домены эксфильтрации. Они используются для заражения новых e-commerce e-commerce сайтов и их клиентов. Сюда входят финансовые учреждения и сайты, работающие с банковскими картами.
Большинство веб-сайтов базируются в США, на которые приходится более 66% заражений. Остальные базировались в Канаде, Великобритании, Аргентине, Индии, Италии, Австралии, Бразилии, Греции, Индонезии и других странах.
Компания Recorded Future предложила сайтам электронной коммерции выполнить полное сканирование файлов, используемых на их веб-страницах, чтобы обнаружить любые несанкционированные изменения.