„`html
Hacker nutzen Google Tag Manager, um Kreditkartendaten zu stehlen
Google Tag Manager (GTM), ein beliebtes Tool zur einfachen Verwaltung von Website-Tags, wird von Hackern ausgenutzt, um schädliche Software zu verbreiten. Diese Art von Malware stiehlt während des Checkout-Prozesses Kreditkartendaten. Mit diesem Trick können Angreifer sensible Informationen wie Kreditkartennummern erlangen, ohne dass dies sofort bemerkt wird.
Wie funktioniert der Angriff?
Die Hacker nutzen Schwachstellen in Magento-basierten E-Commerce-Websites, um bösartige Skripte zu injizieren. Diese Codeschnipsel werden dann in den GTM integriert, der von den meisten Websites als ein legitimes Tool zur Integration von Drittanbieter-Tags verwendet wird. Obwohl äußerlich nichts Auffälliges zu erkennen ist, wird der bösartige Code beim Besuch der Website aktiv. Das Ziel: Kreditkartendaten beim Bezahlvorgang abgreifen und an einen Server der Angreifer senden.
Zusätzlich haben Sicherheitsforscher einen versteckten PHP-Backdoor entdeckt, mit dem Angreifer die Kontrolle über die Website behalten können. PHP-Dateien, die üblicherweise für dynamische Webinhalte genutzt werden, können durch Schadsoftware missbraucht werden, um dauerhaft auf einer Website aktiv zu bleiben.
Details zum Angriff
Die Sicherheitsforscher von *Sucuri* entdeckten, dass der bösartige Code aus einer Tabelle der Magento-Datenbank namens „cms_block.content“ stammte. Ein bestimmter GTM-Tag lädt das Malware-Skript, welches sicher vor herkömmlichen Scans verborgen bleibt. Mindestens sechs Websites wurden zum Zeitpunkt der Untersuchung von genau demselben GTM-ID betroffen, eine Zahl, die laut den Forschern schnell höher werden könnte.
Das betroffene Domain „eurowebmonitortool[.]com“, über die die Hacker die abgeschöpften Daten transferieren, wurde bereits von mehreren Sicherheitsanbietern auf die Blacklist gesetzt.
Relevante Sicherheitsmaßnahmen
Um infizierte Websites zu bereinigen und sich gegen solche Angriffe zu schützen, haben die Sicherheitsforscher folgende Handlungsempfehlungen gegeben:
- Alle verdächtigen GTM-Tags überprüfen und gegebenenfalls löschen.
- Eine vollständige Website-Überprüfung durchführen, um Malware oder Backdoor-Dateien zu identifizieren.
- Bösartige Skripte oder Backdoor-Dateien löschen.
- Software und Magento-Erweiterungen auf die neueste Version mit allen Sicherheits-Patches upgraden.
- Website-Datenverkehr beobachten, um ungewöhnliche Aktivitäten festzustellen.
VirusTotal, ein bekanntes Tool für Sicherheitsüberprüfungen, wurde ebenfalls genutzt, um das bösartige Verhalten zu validieren. Es handelt sich um eine Plattform, die von mehreren Anbietern unterstützt wird und Bedrohungsanalysen bereitstellt.
Fazit
Dieser Vorfall zeigt, wie selbst bekannte und vertrauenswürdige Tools wie der Google Tag Manager von böswilligen Parteien ausgenutzt werden können. Es macht deutlich, wie wichtig es ist, Websites regelmäßig zu überwachen, potenzielle Schwachstellen zu schließen und Sicherheitsmaßnahmen ernst zu nehmen.
Bleib wachsam und stell sicher, dass dein System immer auf dem neuesten Stand ist, um solche Angriffe abzuwehren.
„`
