Grupos ligados ao ecossistema Magecart estão abusando do Google Tag Manager para inserir skimmers de cartão em lojas virtuais comprometidas, usando uma ferramenta legítima e amplamente confiável como ponto de entrega de código malicioso.
O Google Tag Manager é usado por milhões de sites para centralizar scripts de marketing, métricas e rastreamento. Como o código é carregado a partir do domínio confiável googletagmanager.com, muitos controles de segurança e administradores tendem a tratar esses scripts como legítimos.
A campanha analisada envolve um skimmer associado ao ator ATMZOW, ligado a atividades Magecart observadas desde 2015. O objetivo é capturar dados de pagamento inseridos por clientes em páginas de checkout, sem alterar visualmente a experiência de compra.
O ataque começa quando um site invadido passa a carregar um contêiner GTM malicioso. A partir dele, scripts ofuscados verificam se o visitante está em uma página de pagamento ou checkout de etapa única antes de ativar a coleta de dados.
Essa ativação seletiva reduz ruído e dificulta a detecção por varreduras automáticas.
Para o consumidor, a página continua parecendo legítima, enquanto informações digitadas no formulário de pagamento podem ser enviadas silenciosamente para servidores controlados pelos invasores.
A infraestrutura também usa rotação de domínios. O skimmer seleciona dois endereços de uma lista de dezenas de domínios registrados recentemente e grava essa escolha no armazenamento local do navegador, fazendo com que o mesmo par seja reutilizado em visitas posteriores.
