据观察，威胁行为者一直在利用谷歌标签管理器（Google Tag Manager，简称 GTM）向基于 Magento 的电子商务网站投放信用卡信息窃取恶意软件。

网站安全公司 Sucuri 表示，该代码看似是用于网站分析和广告目的的典型 GTM 及谷歌分析脚本，但其中包含一个经过混淆处理的后门，攻击者可借此获得持续访问权限。

截至撰写本文时，发现多达三个网站感染了所涉的 GTM 标识符（GTM – MLHK2N68），较 Sucuri 最初报告的六个有所减少。GTM 标识符指的是一个容器，其中包含各种跟踪代码（如谷歌分析、Facebook 像素代码）以及在满足特定条件时触发的规则。

进一步分析显示，该恶意软件从 Magento 数据库表 “cms_block.content” 加载，GTM 标签包含一段经过编码的 JavaScript 有效载荷，充当信用卡信息窃取器。

安全研究员普佳・斯里瓦斯塔瓦（Puja Srivastava）称：“此脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。”

该恶意软件一旦执行，就会从结账页面窃取信用卡信息，并将其发送到外部服务器。

这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 披露该工具被用于恶意广告活动，旨在通过弹出窗口和重定向为运营者创收。

就在此次事件曝光的几周前，该公司还详细披露了另一起针对 WordPress 的攻击活动，攻击者可能利用插件漏洞或入侵的管理员账户安装恶意软件，将网站访问者重定向到恶意网址。

上周，美国司法部（DoJ）还宣布对两名罗马尼亚人安德烈・法加拉斯（Andrei Fagaras）和塔马斯・科洛兹瓦里（Tamas Kolozsvari）提出指控，他们涉嫌参与支付卡信息窃取活动。

他们因在路易斯安那州东区三个不同地点持有信息窃取设备，被指控三项访问设备欺诈罪。

如果罪名成立，他们每项罪名都将面临最高 15 年监禁、最高三年的监督释放、最高 25 万美元的罚款，以及 100 美元的强制特别评估费。