Вирусы в Google Tag Manager — новая угроза безопасности сайтов

У компании Google есть мощный инструмент для размещения на сайте различных контейнеров: готовых счетчиков посещений, кастомизированных скриптов аналитики, трекеров продаж, а также произвольного HTML кода. Он называется Google Tag Manager.

Кто-то сообразительный из киберпреступников начал использовать его для размещения вредоносного кода на взломанных сайтах. Это стало возможно благодаря специальному типу тега в GTM, который называется “Пользовательский HTML”.

В чем опасность для владельцев сайта и преимущество для хакеров в использовании Tag Manager перед внедрением вредоносного кода непосредственно в шаблоны сайта, скрипты и базу данных, как это они обычно делали?

  1. Домен googletagmanager.com в коде страницы не вызывает подозрений, это домен Google. Если он присутствует на страницах сайта, данная вставка не будет считаться вредоносной, так как домен принадлежит Google и находится в доверенных у вирусных сканеров. У владельца сайта данный код тоже скорее всего не вызовет никаких вопросов.
  2.  Внутри Google Tag Manager можно запустить сложную систему триггеров и условий, при которых код будет загружаться в определенные часы, определенным пользователям. Это как рекламная кампания с большим числом настроек. Хакер может вставлять вирусный код или редирект определенной аудитории или в определенные часы, что затруднит его обнаружение вирусными сканерами и самим веб-мастером.
  3. Хакеру достаточно создать тег один раз, разместить его на сотнях взломанных сайтов, чтобы затем централизованно управлять кодом, который будет загружаться на чужом сайте. Сам Google уже реализовал весь необходимый инструментарий (Google вообще у хакеров в почете, например, он очень хорошо помогает находить в поиске потенциальных жертв для взлома с помощью запросов из базы Google Dorks).
  4. Хакер может взломать Google аккаунт веб-мастера с готовым тегом и внедрить в него свой код (при условии, что тег является произвольным HTML). 

Пример, как вредоносный код может быть размещен внутри контейнера. Здесь же хакер может настроить триггеры (условия и время выполнения кода и передать в него различные переменные): 

В настоящий момент хакеры активно зарабатывают на майнинге криптовалюты, в частности для этого используется проект Coin Hive (Monero js miner), который позволяет использовать процессорные мощности посетителей сайта для майнинга криптовалюты. Но на самом деле в тег можно вставить любой произвольный html, javascript и iframe код. Злоумышленник может добавить клавиатурного шпиона, ворующего пароли, платежные данные или персональные данные посетителей, может разместить вирусный код или редирект на платные сервисы, несанкционированно размещать рекламу и многое другое. Google Tag Manager со своими гибкими настройками тегов, триггеров, переменных и поддержки версионности дает широкое пространство для маневров. 

Что делать владельцам сайтов и специалистам, которые обслуживают сайты клиентов?

  1. Регулярно проверяйте скрипты, которые подгружаются на страницах сайта. Лучше всего для этого подходит сканер ReScan.Pro, потому что
    • во-первых, в отличие от «поделок», которые проверяют только содержимое страницы сайта, ReScan.Pro выполняет динамическую загрузку и исполнение всех скриптов внутри специального безопасного контейнера, что позволяет обнаружить скрытые загрузки скриптов внутри других скриптов или фреймов,
    • а во-вторых он бесплатный.

  1. Если на сайте не было размещено кода googletagmanager.com и вдруг он неожиданно появился на страницах – вероятно, сайт был взломан. Как минимум проверьте файлы сайта бесплатным сканером AI-BOLIT и удалите код Google Tag Manager с сайта.
  2. Если на сайте вы сами разместили код googletagmanager.com ранее, проверьте контейнер в вашем аккаунте Google, нет ли там постороннего кода какого-нибудь майнера или вирусни. Если есть – то ваш аккаунт Google взломан, примите соответствующие меры. 

Если самостоятельно решить проблему не удается, напишите нам, мы поможем.