Hacker manfaatkan Google Tag Manager, curi informasi kartu kredit

cover | topik.id

Aksi dan serangan siber yang semakin canggih kembali mengancam dunia eCommerce skala global, kali ini dengan eksploitasi Google Tag Manager (GTM) sebagai alat pencurian data. Peretas memanfaatkan kerentanan di platform Magento untuk menyuntikkan skrip berbahaya yang mampu mencuri informasi kartu kredit pengguna tanpa terdeteksi. 

Teknik ini menunjukkan bagaimana aktor jahat terus mengembangkan metode serangan dengan memanfaatkan layanan yang sah seperti Google Tag Manager demi menghindari sistem keamanan. Malware ini menggunakan backdoor PHP tersembunyi untuk mempertahankan keberadaannya di situs dan mengekstrak data pengguna. 

Peneliti keamanan di Sucuri mengidentifikasi malware tersebut, yang dimuat dari tabel basis data cms_block.content, dan mencatat bahwa skrip Google Tag Manager tampak normal untuk menghindari deteksi.

"Selama penyelidikan, kami melakukan penelusuran mendalam ke berkas-berkas situs web, memeriksa kode-kode yang mencurigakan atau tidak dikenal. Tidak lama kemudian kami mengidentifikasi bahwa malware tersebut dimuat dari tabel basis data cms_block.content," ungkap laporan Sucuri di laman resminya, dikutip Jumat (14/2/2025).

Setelah diaktifkan, malware tersebut mengambil detail kartu kredit dari halaman pembayaran Magento dan mengirimkannya ke server eksternal yang dikendalikan peretas. 

Sucuri juga menemukan file PHP backdoor yang terletak di ./media/index.php, yang dapat beroperasi dalam berbagai sistem manajemen konten seperti Magento, WordPress, Drupal, dan Joomla.

Kode yang terkoreksi | @sucuri

"Sekilas, kode ini tampak seperti skrip pelacakan Google Tag Manager (GTM) dan Google Analytics standar, yang sering digunakan untuk keperluan analitik situs web dan periklanan. Namun, pemeriksaan lebih dekat mengungkapkan bahwa kode ini tidak digunakan untuk pelacakan yang sah, tetapi malah bersifat jahat," umgkapnya kembali.

Setidaknya enam situs web telah terinfeksi dengan ID Google Tag Manager spesifik ini, dan domain eurowebmonitortool[.]com tersebut dikaitkan dengan aktivitas berbahaya ini, saat ini masuk daftar blokir oleh 15 vendor keamanan di VirusTotal.

Guna mengurangi ancaman tersebut, Sucuri merekomendasikan langkah-langkah berikut untuk membersihkan situs web yang terinfeksi:

• Hapus semua tag GTM yang mencurigakan.
• Lakukan pemindaian situs web secara menyeluruh untuk mengidentifikasi malware atau backdoor lainnya.
• Hilangkan semua skrip berbahaya atau berkas backdoor.
• Pastikan Magento dan semua ekstensi diperbarui dengan patch keamanan terbaru.
• Pantau lalu lintas situs dan GTM secara berkala untuk mengetahui aktivitas yang tidak biasa.

"Selama penyelidikan kami, kami juga menemukan backdoor yang terletak di ./media/index.php . Backdoor ini dapat dieksploitasi untuk menginfeksi situs lebih lanjut, sehingga penyerang dapat mengaksesnya secara terus-menerus," terangnya.

Ancaman seperti ini menegaskan pentingnya pemantauan ketat dan tindakan pencegahan bagi pemilik situs web, terutama di sektor eCommerce. Dengan mengikuti rekomendasi keamanan, seperti menghapus skrip mencurigakan, memperbarui perangkat lunak, dan memantau lalu lintas situs, risiko serangan dapat diminimalkan.