Magecart Veteran ATMZOW exploite une vulnérabilité de GTM
Il a été récemment découvert que des pirates informatiques utilisaient Google Tag Manager (GTM) pour y insérer des skimmers de cartes de crédit.
Un groupe bien connu sous le nom de Magecart Veteran ATMZOW aurait exploité 40 nouveaux noms de domaine associés à Google Tag Manager pour mener son attaque.
Les pirates ciblent cette plateforme en raison de son utilisation généralisée sur des millions de sites Web, leur permettant d’insérer du code HTML et des scripts personnalisés à l’aide d’un script provenant du domaine réputé googletagmanager.
L’évolution du skimmer ATMZOW, associé à plusieurs infections de sites Web Magento depuis 2015, a été retracée.
Le conteneur GTM-TVKQ79ZS fraîchement découvert emploie des techniques d’obfuscation pour dissimuler tous les domaines et les conditions d’activation, rendant ainsi très difficile le décodage.
La taille du script est essentielle pour le décodage ; par conséquent, toute modification de celui-ci peut briser le décodeur.
De plus, une liste de 40 domaines nouvellement enregistrés aurait été utilisés pour injecter une autre couche dans l’attaque.
Des noms de domaines trompeurs pour échapper à la vigilance
Contrairement aux schémas précédents qui incluaient des termes liés à des services de statistiques ou d’analyse bien connus, les attaquants ont cette fois-ci utilisé une combinaison de trois mots anglais dans leurs noms de domaine.
Le premier mot est toujours en rapport avec l’art, tandis que le troisième mot donne au nom de domaine l’apparence d’une connexion à un service Internet tel que metrics, stats, profiler, insights, analytics, tracker, monitor, tool, etc.
Ces deux domaines sont stockés localement et apparaîtront systématiquement lors de l’utilisation du même navigateur afin d’éviter une identification rapide et un blocage par les mesures de sécurité.
Création de nouveaux conteneurs malveillants
Pour mener à bien leur attaque, le pirate informatique a créé de nouveaux conteneurs nommés GTM-NTV2JTB4 et GTM-MX7L8F2M contenant le même script malveillant afin de réinfecter les sites Web compromis.
Quelles implications pour les sites e-commerce ciblés ?
- Vol d’informations sensibles : Les skimmers de cartes de crédit permettent aux pirates de collecter des informations financières confidentielles sur les clients, ce qui peut conduire à une perte de confiance et à des problèmes juridiques pour les propriétaires de sites e-commerce.
- Réputation en danger : Si votre site est associé à des failles de sécurité, cela peut nuire à la réputation de votre entreprise et dissuader les clients potentiels de faire affaire avec vous.
- Pénalités financières : En cas de violation des législations sur la protection des données, les entreprises responsables pourraient faire face à de lourdes amendes et sanctions.
Comment se protéger contre cette menace ?
Il est essentiel pour les propriétaires de sites e-commerce d’adopter des mesures préventives afin de minimiser les risques associés à cette faille dans Google Tag Manager :
- Mise à jour régulière des logiciels : Assurez-vous que tous vos logiciels, y compris votre plateforme e-commerce et tout autre plugin ou extension, sont à jour pour réduire les vulnérabilités exploitables par les pirates.
- Surveillance proactive : Mettez en place une surveillance continue des activités suspectes sur votre site Web, notamment l’accès non autorisé aux informations sensibles et la modification des fichiers du serveur.
- Utilisation d’un pare-feu d’application web (WAF) : Un WAF peut aider à bloquer les tentatives d’injection de scripts malveillants et d’autres attaques connues.
- Formation du personnel : Sensibilisez votre équipe aux menaces de sécurité potentielles et mettez en place des bonnes pratiques pour minimiser les risques liés à la négligence humaine.
La découverte de cette faille dans Google Tag Manager souligne l’importance de rester vigilant quant aux menaces de sécurité qui pèsent sur les sites e-commerce. Il est crucial pour les entreprises de mettre en œuvre des mesures préventives et de surveiller activement leurs systèmes afin d’offrir à leurs clients une expérience d’achat sécurisée et sans souci.
Avant de se quitter…
Si cet article sur la faille de sécurité exploité dans Google Tag Manager vous a plu, n’hésitez pas à le partager sur les réseaux sociaux, à vous abonner à notre newsletter digitale et/ou à nous suivre sur Google Actualités pour recevoir nos prochains articles.
Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).
Nous sommes aussi actifs sur LinkedIn, X, Facebook, Threads et YouTube. On s’y retrouve ?
Principalement passionné par les nouvelles technologies, l’IA, la cybersécurité, je suis un professionnel de nature discrète qui n’aime pas trop les réseaux sociaux (je n’ai pas de comptes publics). Rédacteur indépendant pour LEPTIDIGITAL, j’interviens en priorité sur des sujets d’actualité mais aussi sur des articles de fond. Pour me contacter : [email protected]