Los piratas informáticos están explotando activamente una vulnerabilidad para inyectar un guión ofuscado en sitios web de comercio electrónico basados ​​en Magento. El malware se carga a través de Google Tag Manager, lo que les permite robar números de tarjetas de crédito cuando los clientes revisan. Se utiliza una puerta trasera PHP oculta para mantener el código en el sitio y robar datos del usuario.

El skimmer de la tarjeta de crédito fue descubierto por investigadores de seguridad de Sucuri que aconsejan que el malware se cargó desde una tabla de base de datos, cms_block.content. El script de Google Tag Manager (GTM) en un sitio web parece normal porque el script malicioso está codificado para evadir la detección.

Una vez que el malware estuvo activo, registraría información de la tarjeta de crédito desde una página de pago de comercio electrónico Magento y la enviaría a un servidor externo controlado por un hacker.

Los investigadores de seguridad de Sucuri también descubrieron un archivo PHP de puerta trasera. Los archivos PHP son los ‘bloques de construcción’ de muchos sitios web dinámicos construidos en plataformas como Magento, WordPress, Drupal y Joomla. Por lo tanto, un archivo PHP de malware, una vez inyectado, puede operar dentro del sistema de administración de contenido.

Este es el archivo PHP que los investigadores identificaron:

./media/index.php.

Según el aviso publicado en el sitio web de Sucuri:

“Al momento de escribir este artículo, descubrimos que al menos 6 sitios web estaban actualmente infectados con esta ID particular de Google Tag Manager, lo que indica que esta amenaza está afectando activamente múltiples sitios.

eurowebmonitortool[.]COM se usa en esta campaña maliciosa y actualmente está en la lista de bloques de 15 proveedores de seguridad en Virustotal “.

Virustotal.com es un servicio de seguridad de crowdsourced que proporciona escaneo de archivos gratuito y actúa como agregador de información.

Sucuri aconseja los siguientes pasos para limpiar un sitio web infectado:

• “Elimine cualquier etiqueta GTM sospechosa. Inicie sesión en GTM, identifique y elimine cualquier etiqueta sospechosa.
• Realice un escaneo de sitio web completo para detectar cualquier otro malware o puertas traseras.
• Elimine los scripts maliciosos o los archivos de puerta trasera.
• Asegúrese de que Magento y todas las extensiones estén actualizadas con parches de seguridad.
• Monitoree regularmente el tráfico del sitio y GTM para cualquier actividad inusual “.

Lea el aviso de Sucuri:

Google Tag Manager Skimmer roba información de tarjeta de crédito del sitio Magento

Imagen destacada de Shutterstock/SDX15