>
Research (Insikt)

Bedrohungsakteure missbrauchen weiterhin Google Tag Manager zum E-Skimming von Zahlungskarten

Veröffentlicht: 20. September 2022
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung des Herausgebers: Klicken Sie hier , um den Bericht als PDF herunterzuladen.

Dieser Bericht aus dem Modul „Recorded Future ® Payment Fraud Intelligence“ baut auf unserer früheren Berichterstattung über den Missbrauch des Google Tag Managers (GTM) auf und bietet einen aktualisierten Überblick darüber, wie Bedrohungsakteure GTM-Container missbrauchen, um Magecart-E-Skimmer-Angriffe durchzuführen. Die Zielgruppe sind Strafverfolgungs- und Betrugs- und Cyber Threat Intelligence (CTI)-Teams bei Finanzinstituten, Kartennetzwerken und Handelsdienstleistungsunternehmen.

Executive Summary

Google Tag Manager (GTM)-Container werden von E-Commerce-Domains häufig für Internetmarketing, Website-Nutzungsmetriken und Kundenverfolgung verwendet. In den letzten zwei Jahren hat Recorded Future drei bedeutende Varianten bösartiger Skripte entdeckt, die in GTM-Containern versteckt sind und entweder als E-Skimmer oder als Downloader zum Installieren von E-Skimmern fungieren. Mithilfe der E-Skimmer werden die Zahlungskartendaten und personenbezogenen Daten (PII) von Kunden gesammelt, die auf der infizierten E-Commerce-Website einkaufen. Anschließend werden die gestohlenen Daten auf bösartige Domänen exfiltriert, die sich unter der Kontrolle der Bedrohungsakteure befinden.

Der Missbrauch und die Einbindung legitimer Webdienste wie GTM in E-Skimmer-Angriffsketten bietet Bedrohungsakteuren zwei große Vorteile:

  • Durch Zugriff auf einen infizierten GTM-Container auf einer betroffenen E-Commerce-Domäne können Bedrohungsakteure den Inhalt der GTM-Container ändern, um Skripte zu aktualisieren oder zugehörige bösartige Domänen auszutauschen, ohne auf das System der betroffenen E-Commerce-Website zuzugreifen. Dies trägt dazu bei, die Erkennung und verdächtige Aktivitäten in den Protokollen der Website zu reduzieren.
  • Um Ressourcen zu sparen, können die Administratoren von E-Commerce-Websites „vertrauenswürdige“ Quelldomänen (wie etwa legitime Google-Dienste) auf eine Whitelist setzen. Daher kann die Sicherheitssoftware so konfiguriert werden, dass sie den Inhalt der GTM-Container nicht scannt. Dadurch wird die Erkennung und Behebung infizierter GTM-Container verhindert, was zu einer erhöhten Persistenz führt.

Zum Zeitpunkt der Erstellung dieses Artikels werden alle drei GTM-basierten E-Skimmer-Varianten verwendet, um E-Commerce-Domänen zu infizieren und an die Zahlungskartendaten von Kunden zu gelangen. Der Einsatz dieser GTM-basierten E-Skimmer-Varianten begann spätestens im März 2021 und seitdem wurden jeden Monat neu infizierte E-Commerce-Domains beobachtet. Darüber hinaus ist es aufgrund der Ähnlichkeiten zwischen einer älteren Variante (Variante 1) und einer neuen Variante (Variante 3) wahrscheinlich, dass die Bedrohungsakteure ihre Skripte aktiv aktualisieren, um die Erkennung und Behebung weiter zu erschweren.

Wichtige Urteile

  • Wir haben 569 mit E-Skimmern infizierte E-Commerce-Domänen identifiziert: Bei 314 wurde eine Infektion mit einer GTM-basierten E-Skimmer-Variante bestätigt, während die restlichen 255 Infektionen aufwiesen, die gestohlene Daten auf bösartige Domänen exfiltrierten, die mit GTM-Missbrauch in Verbindung standen.
  • Es wurde bestätigt, dass die 314 E-Commerce-Domänen mit einer der drei GTM-basierten E-Skimmer-Varianten infiziert waren. 87 dieser E-Commerce-Domänen waren zum 25. August 2022 noch immer infiziert. Die durchschnittliche Infektionsdauer der inzwischen behobenen Infektionen betrug 3,5 Monate.
  • Die drei GTM-basierten E-Skimmer-Varianten verwenden jeweils ihren eigenen Satz bösartiger Domänen, um gestohlene Daten zu empfangen. Neben den 314 bestätigten GTM-basierten E-Skimmer-Angriffen wurden 255 E-Commerce-Domänen von E-Skimmern infiziert, die gestohlene Daten in eine mit GTM-Missbrauch verbundene Domäne exfiltrierten. Allerdings liegen nicht genügend historische forensische Daten vor, um zu bestätigen, ob diese inzwischen behobenen E-Skimmer-Infektionen über GTM-Container oder alternative Methoden übertragen wurden.
  • Zum Zeitpunkt des Verfassens dieses Artikels wurden über 165.000 Zahlungskartendatensätze, die Opfern von GTM-Container-Missbrauchsangriffen zugeschrieben werden, in Darknet-Carding-Shops veröffentlicht. Die Gesamtzahl der über GTM-basierte E-Skimmer kompromittierten Zahlungskarten ist wahrscheinlich höher.

Hintergrund

GTM ist ein legitimer Dienst von Google, der Container verwendet, um es Webentwicklern zu ermöglichen, JavaScript und andere Ressourcen in Websites einzubetten. Der Dienst wird normalerweise für Internetmarketing, Website-Nutzungsmetriken und Kundenverfolgung verwendet. Wir haben beobachtet, dass Magecart-Akteure diesen legitimen Google-Dienst missbrauchen. Dazu verwenden sie eine Funktion, die es ihnen ermöglicht, HTML-Elemente oder JavaScript in die GTM-Container einzufügen. Diese Elemente werden dann zur Laufzeit vom GTM-Loader in die Website des Opfers eingefügt. In den meisten aktuellen Fällen erstellen die Bedrohungsakteure die GTM-Container selbst und fügen dann die zum Laden der Container erforderliche GTM-Loader-Skriptkonfiguration in die E-Commerce-Domänen ein (anstatt Schadcode in vorhandene GTM-Container einzufügen, die von den Administratoren der E-Commerce-Websites erstellt wurden).

Generell sind die in diesem Bericht beschriebenen aktiven GTM-basierten E-Skimmer-Angriffsmethoden nicht die ersten beobachteten Fälle von GTM-Missbrauch durch Bedrohungsakteure. Im Jahr 2016 führte Google Tag Manager eine automatische Malware-Erkennung für GTM-Container ein, um Missbrauch zu bekämpfen. Doch in den nächsten zwei Jahren:

  • Das Register berichtete, dass Bedrohungsakteure GTM-Container für Kryptojacking missbraucht hätten.
  • Das Cybersicherheitsunternehmen Sucuri berichtete über den Missbrauch von GTM-Containern, um „betrügerische“ Werbung auf betroffenen Websites zu platzieren und den Webverkehr auf (oft bösartige) Domänen umzuleiten.

Ende 2018 kam es schließlich in einem hochrangigen Darknet-Forum zu einer Diskussion über den Missbrauch von GTM-Containern. Dabei erklärte ein Bedrohungsakteur offen, wie man GTM-Container missbraucht, um „schädlichen Code einzuschleusen“, ohne dabei die möglichen Arten bösartiger Aktivitäten zu spezifizieren.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager für Zahlungskarten-Eskimming.figure1.png Abbildung 1: Im Jahr 2018 erklärte ein Bedrohungsakteur in einem hochrangigen Darknet-Forum, wie man GTM-Container für böswillige Zwecke missbraucht (Quelle: Recorded Future)

Bedrohungsanalyse

Wir haben 569 E-Commerce-Domänen identifiziert, die mit Magecart-E-Skimmern infiziert sind, die gestohlene Zahlungskarten- und Karteninhaberdaten in eine bösartige Domäne exfiltrieren, die mit GTM-basierten E-Skimmer-Angriffen in Verbindung steht. Zum Zeitpunkt dieses Berichts waren 87 der E-Commerce-Domänen noch immer infiziert und alle 87 sind mit einem bestätigten GTM-basierten E-Skimmer infiziert.

Bei 227 der 482 nicht mehr infizierten E-Commerce-Domänen konnten wir den Einsatz von GTM-basierten E-Skimmern bestätigen. Allerdings fehlten ausreichende forensische Beweise aus der Vergangenheit, um schlüssig zu bestätigen, ob bei den Infektionen der verbleibenden 255 E-Commerce-Domänen ein GTM-basierter E-Skimmer oder ein alternativer E-Skimmer-Typ zum Einsatz kam. Aufgrund der Tatsache, dass durch die Infektionen dieser E-Commerce-Domänen gestohlene Daten auf bösartige Domänen exfiltriert wurden, von denen bestätigt wurde, dass sie ebenfalls gestohlene Daten aus GTM-basierten Angriffen erhielten, ist es wahrscheinlich, dass ein erheblicher Teil der 255 Domänen durch einen GTM-basierten E-Skimmer infiziert war.

Unter den bestätigten GTM-basierten Angriffen haben wir drei verschiedene GTM-basierte E-Skimmer-Varianten (im Folgenden „Variante 1“, „Variante 2“ und „Variante 3“) identifiziert und die Exfiltrationsdomänencluster für jede Variante ermittelt. Alle drei Varianten verwenden separate E-Skimmer-Skripte und Exfiltrationsdomänen. Alle drei Varianten werden derzeit für aktive Infektionen verwendet und wurden im August 2022 eingesetzt, um neue E-Commerce-Domänen zu infizieren. Dies deutet darauf hin, dass alle drei Varianten ein aktives Risiko für E-Commerce-Websites und ihre Kunden – und im weiteren Sinne für Finanzinstitute und Kartennetzwerke – darstellen.

Opfertypologie für bestätigte GTM-basierte Angriffe

Zum Zeitpunkt dieses Berichts haben wir über 165.000 Zahlungskartendatensätze, die in Darknet-Carding-Shops veröffentlicht wurden, E-Commerce-Domänen zugeordnet, die durch bestätigte GTM-basierte Angriffe infiziert waren. Basierend auf der Anzahl der infizierten E-Commerce-Domänen, der Infektionsdauer und der kumulierten durchschnittlichen monatlichen Besucherzahl ist die Gesamtzahl der durch GTM-basierte Angriffe kompromittierten Zahlungskartendatensätze wahrscheinlich höher.

Wie aus der nachstehenden Grafik hervorgeht, traten Variante 1 und Variante 2 spätestens im März bzw. Juni 2021 in Kraft. Variante 3 ist die neuste und kam spätestens im Juli 2022 in Kraft. Bei allen drei Varianten blieben GTM-basierte E-Skimmer durchschnittlich 3,5 Monate auf infizierten E-Commerce-Domänen bestehen, bevor sie behoben oder entfernt wurden.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager für das Bezahlkartenskimming.figure2.png Figur 2: Die Anzahl der E-Commerce-Domains, die von einem bestätigten GTM-basierten E-Skimmer infiziert wurden, nach Monat des Infektionsbeginns und Variantentyp (Quelle: Recorded Future)

Bei allen drei Varianten und unter ausschließlicher Berücksichtigung der vollständig bestätigten GTM-basierten E-Skimmer-Angriffe zielten die Bedrohungsakteure nicht ausschließlich auf „hochwertige“ E-Commerce-Domänen ab. Die Angriffe erstreckten sich sowohl auf E-Commerce-Domänen mit fast 1 Million Besuchern pro Monat als auch auf solche mit weniger als 10.000 Besuchern pro Monat. Die folgende Tabelle enthält die derzeit am stärksten infizierten E-Commerce-Domänen gemessen an ihrer durchschnittlichen monatlichen Besucherzahl (ausgenommen die bereits im vorherigen Bericht identifizierten).

Bedrohungsakteure missbrauchen weiterhin Google Tag Manager für Zahlungskarten-Eskimming-Tabelle1.png Tabelle 1: Die Top 5 der von einem GTM-basierten E-Skimmer infizierten E-Commerce-Domains, sortiert nach der durchschnittlichen Anzahl monatlicher Besucher (Quelle: Recorded Future und SimilarWeb)

Was die geografische Verteilung der anvisierten E-Commerce-Domänen betrifft, so zielten die Bedrohungsakteure, die GTM-basierte E-Skimmer-Angriffe durchführten, in erster Linie auf E-Commerce-Domänen von Unternehmen mit Hauptsitz in den Vereinigten Staaten ab, was einer wahrscheinlichen Absicht entspricht, in den USA ansässige Karteninhaber anzugreifen.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager für das Bezahlkartenskimming.figure3.png Figur 3: Die 10 am stärksten betroffenen Länder basierend auf dem Standort des Firmensitzes der infizierten E-Commerce-Domains (Quelle: Recorded Future)

GTM-basierte E-Skimmer-Varianten: Design und Auswirkungen

Die wesentliche Ähnlichkeit zwischen den drei Varianten besteht darin, dass sie alle GTM-Container in ihre E-Skimmer-Angriffskette integrieren. Das GTM-System verwendet standardmäßig sein eigenes JavaScript, um GTM-Container zu laden und deren Inhalte auf die verweisende Website anzuwenden. Bedrohungsakteure missbrauchen diese Funktionalität, indem sie schädlichen Code in die Container einbetten, obwohl sie wissen, dass dieser vom legitimen GTM-Loader in die betroffene Website geladen wird.

Die interessante Variable innerhalb des GTM-Containers ist „vtp_html“ (Abbildung 4). Sie entspricht einer Zeichenfolge, die vom GTM-Loader gelesen und in die Opferseite eingefügt wird. Die Magecart-Akteure platzieren einen Skript- Tag und ein entsprechendes JavaScript in der Variable „vtp_html“, wodurch diese vom Webbrowser geladen und ausgeführt wird.

Der Hauptunterschied zwischen den drei Varianten (abgesehen davon, dass sie gestohlene Zahlungskarten- und Karteninhaberdaten in separate bösartige Domänen exfiltrieren) besteht in der Art und Weise, wie sie die endgültige Nutzlast des E-Skimmer-Skripts über den GTM-Container bereitstellen:

  • Variante 1 bettet ein nicht verschleiertes E-Skimmer-JavaScript direkt in den GTM-Container ein und verwendet für jede Infektion einen eindeutigen GTM-Container.
  • Bei Variante 2 wird ein Loader-Skript in den GTM-Container eingebettet. Das Loader-Skript ruft dann das eigentliche E-Skimmer-Skript aus einer separaten Dual-Use-Domäne ab (einer Domäne, die sowohl zum Hosten von E-Skimmer-Skripten als auch zum Empfangen exfiltrierter Zahlungskartendaten verwendet wird). Variante 2 verwendet mehrere GTM-Container für mehrere Infektionen erneut.
  • Ähnlich wie Variante 1 bettet Variante 3 das E-Skimmer-JavaScript direkt in den GTM-Container ein und verwendet für jede Infektion einen eindeutigen GTM-Container. Der Hauptunterschied zwischen Variante 1 und 3 besteht darin, dass Variante 3 eine benutzerdefinierte Verschleierung verwendet.

Letztendlich ist es unwahrscheinlich, dass eine einzige Bedrohungsgruppe für alle drei Varianten verantwortlich ist. Es ist jedoch wahrscheinlich, dass eine einzige Bedrohungsgruppe oder eine sich überschneidende Gruppe von Bedrohungsakteuren für die Varianten 1 und 3 verantwortlich ist. Variante 1 wurde hauptsächlich im Jahr 2021 eingesetzt, während Variante 3 im Sommer 2022 auftauchte. In diesem Szenario stellt Variante 3 eine erweiterte Version von Variante 1 dar, die auf benutzerdefinierter Verschleierung basiert, um die Wahrscheinlichkeit einer Entdeckung zu verringern.

Die folgenden Unterabschnitte bieten einen Überblick über das E-Skimmer-Design und die Infektionsmetriken jeder Variante. Unser früherer Bericht zu GTM-basierten E-Skimmern vom Dezember 2021 enthält erweiterte Informationen zum technischen Design der Varianten 1 und 2.

Variante 1: Erst identifiziert und entschlüsselt

Variante 1 lädt „vtp_html“ mit einem E-Skimmer-Skript, fügt einen Link zum Container in die Website des Opfers ein und verwendet für jedes Opfer eindeutige Container. Bei Variante 1 wird keine Verschleierung eingesetzt.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager für das Bezahlkartenskimming. Abbildung 4.png Figur 4: Beispiel eines mit einem Trojaner infizierten GTM-Containers, der das bösartige Skript der Variante 1 im vtp_html-Element zeigt (Quelle: imovr[.]com)

Variante 1 wurde in Containern beobachtet, die gegen 187 E-Commerce-Domänen eingesetzt wurden. Das erste Opfer wurde spätestens im März 2021 infiziert. Zum Zeitpunkt des Schreibens dieses Artikels sind 52 der Domänen mit Variante 1 infiziert. Weitere 61 E-Commerce-Domänen wurden mit E-Skimmern infiziert, deren Virenbefall inzwischen behoben wurde. Diese exfiltrierten die gestohlenen Daten auf eine der acht bösartigen Domänen, die mit dieser Variante in Zusammenhang stehen. Allerdings liegen für diese 61 Infektionen nicht genügend historische Daten vor, um zu bestätigen, ob es sich dabei speziell um GTM-basierte E-Skimmer handelte.

Bedrohungsakteure missbrauchen weiterhin Google Tag Manager für Zahlungskarten-Eskimming-Tabelle2.png Tabelle 2: E-Skimmer der Variante 1 sind darauf ausgelegt, gestohlene Daten in eine dieser bösartigen Domänen zu exfiltrieren und so die Verbindung zwischen GTM-basierten Angriffen und diesen Domänen herzustellen (Quelle: Recorded Future)

Variante 2: Nutzt GTM Container als Loader für Dual-Use Domain

Variante 2 infiziert den GTM-Container mit einem Trojaner, indem „vtp_html“ mit einem Skript geladen wird, das einen Link zu einer externen E-Skimmer-URL einfügt – die das eigentliche E-Skimmer-Skript hostet – und dann den E-Skimmer in die betroffene Website lädt. Anders als bei den Varianten 1 und 3 haben die Bedrohungsakteure hinter Variante 2 GTM-Container in mehreren infizierten E-Commerce-Domänen wiederverwendet. Im Laufe der Lebensdauer der GTM-Container wurden 2 Container mit mehreren E-Skimmer-URLs verknüpft.

Bedrohungsakteure missbrauchen weiterhin Google Tag Manager für Zahlungskarten-Eskimming-Tabelle3.png Tisch 3: Auflistung der GTM-Containerkennungen der Variante 2 mit Angabe der Anzahl der verwendeten E-Skimmer-URLs, der Gesamtzahl der Opfer, der Anzahl der aktiven Opfer und des Zeitraums der Containeraktivität (Quelle: Recorded Future)

Bedrohungsakteure haben Links zu diesen mit Trojanern infizierten Containern in 118 E-Commerce-Websites eingeschleust, wobei das erste Opfer spätestens im Juni 2021 infiziert wurde. Zum Zeitpunkt des Schreibens dieses Artikels waren 22 der E-Commerce-Websites noch immer infiziert (die Gesamtanzahl in der Spalte „Aktive Opfer“ in Tabelle 3 beträgt 23, da eine Website aktuell mit 2 GTM-Containern infiziert ist). Während der gesamten Kampagne wurden 8 Opfer mit 3 Containern infiziert, während 24 Opfer mit 2 Containern infiziert wurden. Weitere 195 E-Commerce-Domänen wurden mit E-Skimmern infiziert, deren Infektionsrisiko inzwischen behoben wurde, und die gestohlene Daten auf eine der 17 bösartigen Domänen exfiltrierten, die mit Variante 2 in Verbindung stehen. Allerdings liegen für diese 195 Infektionen nicht genügend historische Daten vor, um zu bestätigen, ob es sich dabei speziell um GTM-basierte E-Skimmer handelte.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager für Zahlungskarten-Eskimming-Tabelle4.png Tabelle 4: E-Skimmer der Variante 2 sind darauf ausgelegt, gestohlene Daten in eine dieser bösartigen Domänen zu exfiltrieren und so die Verbindung zwischen GTM-basierten Angriffen und diesen Domänen herzustellen (Quelle: Recorded Future)

Variante 3: Sehr ähnlich zu Variante 1, aber verschleiert

Im Juli 2022 entdeckten wir Variante 3, die Variante 1 insofern ähnelte, als sie:

  • Implantiert ein E-Skimmer-Skript direkt in den GTM-Container.
  • Verwendet für jede Infektion einen eindeutigen GTM-Container.
  • Verwendet eine ähnliche E-Skimmer-Skriptstruktur, wenn auch verschleiert.

Der Hauptunterschied zwischen Variante 1 und Variante 3 besteht darin, dass Variante 1 nicht verschleiert ist, während Variante 3 über eine benutzerdefinierte Verschleierung verfügt. Darüber hinaus werden bei den Varianten 1 und 3 die gestohlenen Daten jeweils an separate Gruppen bösartiger Domänen weitergeleitet. Beide Varianten verwenden jedoch bösartige „Look-alike“-Domänen, die den Benutzern vorgaukeln sollen, dass es sich um legitime Google-Domänen handelt.

Während es unwahrscheinlich ist, dass die Bedrohungsakteure hinter Variante 2 entweder für Variante 1 oder 3 verantwortlich sind, ist es wahrscheinlich, dass für die Varianten 1 und 3 dieselbe Bedrohungsgruppe oder eine sich überschneidende Gruppe von Bedrohungsakteuren verantwortlich ist.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager zum Bezahlkartenskimming. Abbildung 5.png Abbildung 5: Screenshot von Variante 3, der das Skript nach dem Abrufen und Einfügen durch den GTM-Loader zeigt (Quelle: hvacdirect[.]com)

Variante 3 fügt das E-Skimmer-Skript (Abbildung 6) über den GTM-Loader in die betroffene Webseite ein und wird zur Laufzeit deobfuskiert. Variante 3 verwendet einen XOR-Verschlüsselungsalgorithmus (Abbildung 6, Zeilen 13 bis 16) und einen eingebetteten Schlüssel (Abbildung 6, Zeile 36, dekodiert mit der Funktion in den Zeilen 8 bis 11), um Schlüsselzeichenfolgen innerhalb des Skripts zu entschlüsseln. Jeder GTM-Container verwendet seinen eigenen Verschlüsselungsschlüssel, wodurch verhindert wird, dass dieser als Indikator für eine Kompromittierung verwendet wird. Die Verschlüsselung maskiert auch die Exfiltrations-URL (Abbildung 6, Zeile 39). Mithilfe dieser Techniken lässt sich der E-Skimmer vor Analysten und statischen Code-Scannern verbergen, die häufig auf bestimmte JavaScript-Schlüsselwörter, beispielsweise solche zum Erstellen von HTML-Elementen oder Herstellen von Netzwerkverbindungen, sowie auf bekannte bösartige Zeichenfolgen abzielen.

Bedrohungsakteure missbrauchen weiterhin den Google Tag Manager zum Bezahlkartenskimming.figure6.png Abbildung 6: Screenshot eines syntaktisch formatierten E-Skimmer-Skripts, das die Dekodierungs- und Entschlüsselungsroutinen sowie den Verschlüsselungsschlüssel und die Exfiltrations-URL zeigt (Quelle: Recorded Future)

Mit Variante 3 wurden 13 E-Commerce-Websites infiziert, die zum Zeitpunkt der Erstellung dieses Artikels noch immer infiziert waren. 9 der 13 Opfer dieser Variante infizierten sich im Juli 2022, der Rest im August 2022. Die folgende Tabelle enthält die 4 bösartigen Exfiltrationsdomänen, die mit Variante 3 in Verbindung stehen.

Bedrohungsakteure missbrauchen weiterhin Google Tag Manager für Zahlungskarten-Eskimming.table5.png Tabelle 5: E-Skimmer der Variante 3 sind darauf ausgelegt, gestohlene Daten in eine dieser bösartigen Domänen zu exfiltrieren und so die Verbindung zwischen GTM-basierten Angriffen und diesen Domänen herzustellen (Quelle: Recorded Future)

Gegenmaßnahmen

  • Administratoren von E-Commerce-Websites sollten einen vollständigen Scan der auf ihren Webseiten verwendeten Dateien durchführen, um eine zweifelsfrei funktionierende Basislinie zu erstellen. Es sollten regelmäßige Scans durchgeführt werden, um nach nicht autorisierten Änderungen zu suchen. Dies muss durch Überprüfungen auf Unterschiede im Dateiinhalt ermittelt werden. Der Einsatz einer Versionskontrollsoftware sollte diese Aufgabe erfüllen.
  • Administratoren von E-Commerce-Websites sollten die Website in einem Browser laden und dabei den Netzwerkverkehr beobachten. Dabei sollten sie auf unerwartete Verbindungen achten, die einer genaueren Prüfung bedürfen.
  • Administratoren von E-Commerce-Websites sollten eine dynamische Analyse der Website über einen Remote-Debugging-Prozess durchführen, da sich E-Skimmer-Skripte zunehmend selbst deaktivieren, wenn sie die Präsenz der Entwicklerkonsole erkennen.

Ausblick

Wie beim Missbrauch von GTM-Containern nutzen Bedrohungsakteure weiterhin öffentlich verfügbare Websites und Technologien aus und integrieren diese in ihre Angriffsinfrastruktur, da sie eine höhere Widerstandsfähigkeit, Anonymität und Erkennungsvermeidung bieten als „selbstregistrierte“ Command-and-Control-Server (C2). Während Sicherheitstools so konfiguriert sein können, dass sie Ressourcen sparen, indem sie Dateien, die auf „vertrauenswürdigen“ Quelldomänen gehostet werden, auf eine Whitelist setzen, kann sich diese Optimierung für E-Commerce-Websites als kontraproduktiv erweisen, da die Websites dann anfällig für Ausnutzung und dauerhafte Infektionen mit schädlichen Dateien sind.

Der Missbrauch von GTM-Containern ermöglicht es Bedrohungsakteuren außerdem, die Infrastruktur und Software der Magecart-Kampagne zu aktualisieren, ohne auf den Server des Opfers zugreifen zu müssen. Böswillige Akteure werden diese öffentlich verfügbaren und oft kostenlos nutzbaren Dienste wahrscheinlich auch weiterhin nutzen, um die Verbreitung von Infektionen zu fördern und gleichzeitig die Zuordnung zu erschweren.

Zu den in diesem Bericht verwendeten Quellen gehören das Magecart Overwatch-Programm von Recorded Future, die manuelle Analyse infizierter E-Commerce-Websites und Dark Web Carding-Shops.

Anmerkung des Herausgebers: Klicken Sie hier , um den Bericht als PDF herunterzuladen.

Verwandt