Google Tag Manager für Kreditkartendaten-Skimmer missbraucht
Cyberkriminelle setzen gezielt Google Tag Manager (GTM) ein, um hoch entwickelte Kreditkartendaten-Skimmer auf Magento-basierten E-Commerce-Websites zu platzieren und so vertrauliche Zahlungsinformationen unbemerkt abzugreifen.
Das auf sichere Websites spezialisierte Unternehmen Sucuri hat herausgefunden, dass ein vermeintlich harmloses Google-Tag-Manager- (GTM) und Google-Analytics-Skript für Website-Analysen und Werbung in Wirklichkeit eine versteckte Hintertür enthält. Diese Hintertür ermöglicht es Angreifern, dauerhaft auf die betroffenen Websites zuzugreifen.
Aktuell wurden drei infizierte Websites mit dem GTM-Identifikator „GTM-MLHK2N68“ entdeckt. Zuvor hatte Sucuri sechs solcher Fälle gemeldet. Der GTM-Identifikator verweist auf einen Container, in dem verschiedene Tracking-Codes wie Google Analytics oder Facebook Pixel gespeichert sind. Außerdem enthält er Regeln, die festlegen, wann diese Codes ausgelöst werden sollen.
Bei der Analyse zeigte sich, dass die Schadsoftware aus der Magento-Datenbanktabelle „cms_block.content“ stammt. Im GTM-Tag ist ein codiertes JavaScript-Programm versteckt, das als Kreditkartendaten-Skimmer dient. „Dieses Skript wurde entwickelt, um sensible Daten während des Bezahlvorgangs abzugreifen und an einen Server der Angreifer zu senden“, so die Sicherheitsexpertin Puja Srivastava.
Sobald der Schadcode aktiviert wird, stiehlt die Malware die Kreditkartendaten von den Checkout-Seiten und überträgt sie an einen externen Server. Der Missbrauch von Google Tag Manager für bösartige Zwecke ist nicht neu. Bereits im April 2018 berichtete Sucuri von einer Kampagne, bei der das Tool genutzt wurde, um mit Pop-ups und Weiterleitungen Geld zu verdienen.
Ähnliche Kampagne gegen WordPress
Diese neuen Erkenntnisse wurden nur wenige Wochen nach der Entdeckung einer weiteren Angriffskampagne gegen WordPress-Websites bekannt. Sucuri berichtete, dass dabei vermutlich Sicherheitslücken in Plug-ins oder gestohlene Zugangsdaten von Administratoren genutzt wurden, um Schadsoftware zu installieren. Diese Schadsoftware leitete Besucher der betroffenen Websites auf gefährliche Internetadressen um.
Vor kurzem hat das US-Justizministerium (DoJ) außerdem mitgeteilt, dass zwei rumänische Staatsbürger, Andrei Fagaras und Tamas Kolozsvari, angeklagt wurden. Ihnen wird vorgeworfen, an einer kriminellen Operation zum Diebstahl von Kreditkartendaten beteiligt gewesen zu sein.
Die Anklage umfasst drei Fälle von sogenanntem „Access Device Fraud“, also dem Missbrauch von Geräten, die für den Zugriff auf Kreditkarteninformationen genutzt werden. Die beiden sollen an drei verschiedenen Orten im östlichen Bezirk von Louisiana solche Skimming-Geräte besessen haben.
Wenn sie verurteilt werden, drohen ihnen bis zu 15 Jahre Gefängnis, bis zu drei Jahre überwachte Freilassung, eine Geldstrafe von bis zu 250.000 US-Dollar und eine zusätzliche Gebühr von 100 US-Dollar für jeden der drei Anklagepunkte.