Des hackers exploitent Google Tag Manager pour injecter un malware skimmer de cartes bancaires sur des boutiques e-commerce basées sur Magento. Cette nouvelle campagne malveillante a été détectée par la société de cybersécurité Sucuri, qui a découvert un script malveillant dissimulé dans un conteneur Google Tag Manager (GTM). Son objectif : voler les informations bancaires des clients lors du paiement et les envoyer vers un serveur contrôlé par des cybercriminels.
Une attaque via Google Tag Manager pour infiltrer Magento
Un usage détourné d’un outil légitime
Google Tag Manager est un service légitime utilisé par de nombreux sites web pour faciliter l’intégration de balises marketing et d’outils d’analyse comme Google Analytics ou le Facebook Pixel. Les attaquants ont trouvé un moyen d’injecter un code JavaScript malveillant à l’intérieur d’un identifiant GTM compromis (GTM-MLHK2N68), ce qui leur permet de masquer leur activité sous une apparence légitime.
Un malware inséré dans la base de données
Les analyses de Sucuri ont mis en évidence que le malware skimmer est chargé depuis la table « cms_block.content » de la base de données Magento. Une fois actif, il intercepte les informations sensibles saisies par les clients sur les pages de paiement et les transfère vers un serveur distant contrôlé par les attaquants.
Un vol de données bancaires en temps réel
Comment fonctionne le skimmer de cartes bancaires ?
Le code malveillant est exécuté discrètement lors du processus de paiement, capturant en temps réel les données bancaires des utilisateurs. Informations volées : numéros de carte bancaire, codes CVV, dates d’expiration. Ces données sont ensuite envoyées vers un serveur externe afin d’être exploitées ou revendues sur le dark web.
Combien de sites sont concernés ?
À ce jour, trois sites e-commerce ont été identifiés comme infectés, alors que six avaient initialement été signalés par Sucuri. Il est probable que d’autres plateformes utilisant Magento soient compromises mais non encore détectées.
Google Tag Manager déjà exploité par le passé
Une méthode bien rodée
Ce n’est pas la première fois que Google Tag Manager est exploité à des fins malveillantes. En avril 2018, des chercheurs en cybersécurité avaient déjà mis en lumière l’utilisation de GTM pour mener des campagnes de malvertising, une technique consistant à diffuser des publicités infectées pour piéger les internautes.
Des failles toujours exploitées sur les sites web
Cette attaque survient après une autre campagne malveillante ciblant WordPress. Des pirates avaient exploité des vulnérabilités de plugins ou compromis des comptes administrateurs pour rediriger les visiteurs vers des sites frauduleux. Les sites e-commerce restent des cibles privilégiées pour ces cyberattaques en raison des volumes de transactions financières traités.
Pour protéger votre boutique en ligne contre ce type de cyberattaque, nos experts CyberCare proposent des solutions de sécurité web et d’audit de cybersécurité adaptées aux plateformes e-commerce comme Magento et WordPress.
