Explotación del Administrador de etiquetas de Google
Informes recientes han revelado una tendencia preocupante en la que los cibercriminales están explotando el Administrador de etiquetas de Google (GTM) para implementar malware de clonación de tarjetas de crédito en sitios web de comercio electrónico basados en Magento. GTM, que se utiliza normalmente para análisis y publicidad de sitios web, ha sido manipulado para proporcionar acceso persistente a los atacantes. El malware, oculto dentro de un script de GTM y Google Analytics aparentemente normal, está diseñado para robar datos confidenciales de los usuarios.
Tabla de contenido
Desenmascarando el código corrupto
Tras la investigación, los expertos en seguridad descubrieron que la etiqueta GTM comprometida contiene una puerta trasera ofuscada. Esta puerta trasera permite a los atacantes mantener el acceso a largo plazo a los sitios web infectados. Los hallazgos iniciales mostraron seis sitios infectados con el mismo identificador GTM (GTM-MLHK2N68), aunque desde entonces este número se ha reducido a tres. Se descubrió que el identificador GTM, esencialmente un contenedor para varios códigos de seguimiento y reglas de activación, incluía una carga útil de JavaScript codificada que actúa como un escáner de tarjetas de crédito.
La funcionalidad furtiva del malware
El malware se ejecuta desde la tabla 'cms_block.content' dentro de la base de datos de Magento. Una vez activado, ataca las páginas de pago de los sitios de comercio electrónico afectados y obtiene información confidencial de los clientes, como los datos de la tarjeta de crédito. Los datos robados se envían a un servidor externo controlado por los atacantes, eludiendo así las medidas de seguridad tradicionales.
Una historia de abuso de GTM
No es la primera vez que Google Tag Manager ha sido pirateado con fines maliciosos. En abril de 2018, GTM fue utilizado indebidamente en una campaña de publicidad maliciosa que tenía como objetivo generar ingresos a través de ventanas emergentes y redirecciones. Este abuso reciente pone de relieve los riesgos continuos asociados a los cibercriminales que explotan las herramientas de gestión web más populares.
Acciones legales y consecuencias para los cibercriminales
En relación con la tendencia más amplia de clonación de tarjetas de pago, el Departamento de Justicia de los Estados Unidos (DoJ) ha acusado a dos ciudadanos rumanos, Andrei Fagaras y Tamas Kolozsvari, de múltiples cargos de fraude con dispositivos de acceso relacionados con una operación generalizada de clonación de tarjetas en el Distrito Este de Luisiana. Si son condenados, los sospechosos podrían enfrentarse a hasta 15 años de prisión, fuertes multas y períodos importantes de libertad supervisada.
Esta última violación subraya la importancia de proteger las plataformas de comercio electrónico y monitorear cuidadosamente las herramientas integradas en los sitios web para evitar abusos.
