Investigadores de seguridad han emitido una advertencia a los usuarios que utlizan la aplicación Tag Manager de Google (GTM), una herramienta para sitios de comercio electrónico.
Según los expertos de Recorded Future, GTM estaría siendo utilizada por los ciberdelincuentes para robar datos de tarjetas e información personal, mediante e-skimmers maliciosos que sustraen dicha información.
No se trata de una herramienta de uso residual. Hay miles de webs de ecommerce que se sirven de los contenedores de Google Tag Manager para obtener datos sobre métricas, seguimiento de clientes y fines de marketing.
Desde Recorded Future informan de la existencia de tres variantes significativas de scripts maliciosos que los piratas esconden tras los contenedores GTM y con las que pueden filtrar la información personal de los compradores.
Los investigadores hablan de 165.000 registros de tarjetas atribuidos a víctimas de ataques, que habrían sido publicadas en la dark web. Pero calculan que la cifra puede ser mayor.
Encontraron 569 dominios de comercio electrónico infectados con e-skimmers. Casi 90 de ellos todavía lo estaban a fecha del 25 de agosto y, como promedio, los investigadores hallaron que las infecciones tardaron más de tres meses en remediarse.
Remedios poco efectivos
La compañía de Mountain View lanzó en 2016 la detección automatizada de malware para contenedores GTM en un intento de contener el abuso. Pero los ciberdelincuentes se movieron rápido y desarrollaron sus esfuerzos para instalar cryptojackers.
Al abusar de herramientas legítimas como Google Tag Manager, los piratas informáticos pueden evitar el software de seguridad que a menudo no escanea los contenedores GTM porque los administradores de sitios web suelen incluir en la lista blanca los dominios de origen confiables, especialmente los que provienen de Google.
“Destacamos por primera vez el uso de GTM en un informe en 2021, y ha seguido estando en uso activo hasta la fecha, en algunos casos todavía utilizando los mismos cubos GTM maliciosos que se hicieron públicos el año pasado”, ha comentado Stas Alforov, director de investigación de fraudes en Recorded Future.
“Por lo tanto, creemos que el uso de GTM permanecerá sin cambios a menos que Google lo solucione", añade.