- Grupos ligados ao Magecart estão abusando do Google Tag Manager para inserir skimmers em lojas virtuais, usando o GTM como ponto de entrega de código malicioso.
- Como o código vem de googletagmanager.com, muitos controles de segurança tratam os scripts como legítimos, facilitando a prática.
- O skimmer é associado ao ator ATMZOW, identificado em atividades Magecart desde 2015, com o objetivo de capturar dados de pagamento no checkout sem alterar a aparência da loja.
- O ataque começa quando um site comprometido carrega um contêiner GTM malicioso; scripts ofuscados verificam se a página é de pagamento antes de ativar a coleta de dados.
- A infraestrutura utiliza rotação de domínios: o skimmer escolhe dois endereços de uma lista de domínios recentes e repete o par em visitas futuras.
Um grupo de cibercriminosos está explorando o Google Tag Manager para inserir skimmers de cartão em lojas virtuais comprometidas. A ação faz parte do ecossistema Magecart, que utiliza ferramentas legítimas para coletar dados de pagamento sem alterar a aparência da loja.
A campanha identificada envolve o ator conhecido como ATMZOW, ligado a atividades Magecart desde 2015. O objetivo é capturar dados de pagamento inseridos por clientes no checkout, sem sinalizar qualquer irregularidade visível.
O ataque começa quando o site comprometido passa a carregar um contêiner malicioso do GTM. Scripts ofuscados verificam se a página é de pagamento ou checkout de etapa única antes de iniciar a coleta de dados, reduzindo ruído para detecção.
Essa ativação seletiva facilita a furtiva leitura de informações digitadas no formulário de pagamento, que são enviadas aos servidores controlados pelos invasores. A experiência do usuário permanece aparentemente normal.
A infraestrutura emprega rotação de domínios: o skimmer seleciona dois endereços entre dezenas registrados recentemente e registra a escolha no armazenamento local do navegador, repetindo o mesmo par em visitas subsequentes.
Entre na conversa da comunidade