Activités malveillantes avec Google Gestionnaire de balises
5 (100%) 2 votes

Activités malveillantes avec Google Gestionnaire de balises

Dans le passé, AdSense a été abusé avec une campagne de publicité malveillante . Et même plus récemment, les pirates informatiques peuvent injecter des logiciels malveillants qui font afficher des annonces Google AdSense afin de générer des revenus pour les pirates.

Google Tag Manager

Si on pose la question: »Faites vous confiance à un script de Google sur votre site Web ? », la majorité des utilisateurs diraient «oui», voir un oui « Absolu ». Mais lorsqu’un comportement malveillant de script survient, tout doit être revérifié et suspecté, même les actifs provenant de «sources fiables» comme Google, Facebook et Youtube.

Dans le passé, AdSense a été abusé avec une campagne de publicité malveillante . Et même plus récemment, les pirates informatiques peuvent injecter des logiciels malveillants qui font afficher des annonces Google AdSense afin de générer des revenus pour les pirates.

Comment fonctionne Google Tag Manager ?

Google Tag Manager est facile à prendre en main, il fonctionne comme un conteneur qui permet aux webmasters de placer plusieurs blocs de code JavaScript différents sur un seul fichier. En utilisant les propres mots de Google:

Avec tant d’outils de mesure, les spécialistes du marketing ont besoin de flexibilité, que ce soit pour changer des étiquettes à la volée ou pour ajouter facilement des étiquettes provenant d’autres sources.

Dans Google Tag Manager, les spécialistes du marketing peuvent ajouter ou modifier leurs propres tags, le cas échéant. Tag Manager prend en charge toutes les balises et propose des modèles clés en main faciles à utiliser pour un large éventail de balises Google et de tiers – pour les applications Web et mobiles. Vous ne voyez pas un tag répertorié ? Vous pouvez l’ajouter immédiatement en tant que tag personnalisé. Avec une telle flexibilité, votre campagne peut être lancée en quelques clics.

Les problèmes commencent lorsque aucune étiquette n’est répertoriée, l’outil vous demande alors d ajouter un tag immédiatement. Cela signifie que vous pouvez ajouter ce que vous voulez sans la supervision de Google. Comme nous l’avons déjà vu à plusieurs reprises, un JavaScript malveillant peut poser de sérieux risques directement à vos visiteurs, comme l’ extraction inconsidérée de cryptocurrences directement sur le navigateur du visiteur.

Comment Google Gestionnaire de balises est-il mis en œuvre?

Le script Google Tag Manager est facilement accessible sur un site Web comme celui-ci:

L’ ID du script définit le contenu à apporter. Cela permet à un pirate de changer facilement l’ identifiant pour un contrôle qu’il contrôle, ce qui rend difficile pour le webmaster de savoir si un compromis a été fait sur son site web, à moins qu’il ne surveille constamment chaque changement qui se produit et / ou connaisse l’identifiant GTM par cœur.

Google Gestionnaire de balises utilisé pour charger malvertising

Maintenant, penchons-nous sur un cas concret de la vie réelle. Il s’agit d’un bloc de code que nous avons trouvé sur un script Google Tag Manager utilisé sur un site Web:

Script Google Tag Manager chargé sur le site

Ce code permet au site Web de charger les scripts suivants:

  • hxxps: //connect.facebook [.] net / en_US / fbevents.js;
  • hxxps: //www.facebook [.] com / tr? id = SUPPRIME & amp = ev = PageView & amp; noscript = 1;
  • hxxps: //a2.adform [.] net / serveur / scripts / trackpoint / async /;
  • hxxps: //a2.adform [.] net / Serving / TrackPoint /? pm = 1046956;

Ils semblent plutôt normaux, non? Deux d’entre eux (Facebook) sont vus assez souvent et agissent normalement, mais celui d’ adform [.] Net est une histoire différente. Le nom lui-même indique qu’il charge des annonces, et puisque la plupart des réseaux publicitaires ont des filtres publicitaires très cléments, cela devient un suspect principal pour un comportement malveillant sur le site. Nous aurons besoin de l’étudier plus avant.

Pop-ups et redirections

Les problèmes signalés étaient des pop-ups et des redirections. Juste un coup d’oeil rapide sur la façon dont le script adform se comportait donnait l’indication que quelque chose n’allait pas.

Popups et redirections à l'aide de Google Tag Manager
Popups et redirections à l’aide de Google Tag Manager

Le script d’ adform [.] Net demandait un script de action.dstillery [.] Com , qui redirigeait ensuite la requête vers l’URL suivante:

hxxp: //action.media6degrees [.] com / orbserv / nsjs? adv = cl1014032 & ns = 1955 & nc = mwl-tous-visiteurs & ncv = 46 & dstOrderId = [OrderId] & dstOrderAmount = [OrderAmount]

Ce comportement est courant avec les annonces, mais lors de l’examen de la demande media6degrees.com , les données renvoyées étaient les suivantes:

Annonces en cours de chargement depuis d'autres réseaux

Il charge les annonces provenant d’autres réseaux. C’est une stratégie normale pour certains annonceurs, mais le problème est qu’il existe des réseaux dont les politiques publicitaires sont inefficaces, ce qui permet aux publicités malveillantes de passer leurs filtres. Par conséquent, cela permet aux annonces d’être diffusées sur votre site Web et d’infecter vos visiteurs avec plusieurs types de logiciels malveillants.

Réseaux publicitaires GTM pour Malvertising

Chacun de ces réseaux peut charger d’autres réseaux et plusieurs autres scripts. Avant de le remarquer, nous avons des dizaines de scripts inconnus qui se chargent sur le site et avec chacun d’entre eux, le risque potentiel pour les visiteurs se multiplie de façon exponentielle. Certains de ces réseaux provoquaient même les redirections et les pop-ups. La solution immédiate à donc été de supprimer le script GTM à partir du site Web.

Autres occurrences

Sur un cas séparé qui a également fait face à des pop-ups et des redirections, rien d’étrange ne semblait charger directement sur le site au premier coup d’œil. Mais en vérifiant les scripts en cours d’exécution, le script à été trouvé sur le script Google Tag Manager:

Script Google Gestionnaire de balises

Dans ce cas précis, le code permettrait au site de charger des scripts à partir de différents domaines habituels, mais il incluait également hxxps: //s.adroll [.] Com , ce qui nous ramène à la suspicion de malveillance qui peut venir avec les réseaux publicitaires.

Le script adroll.com chargeait des scripts de plusieurs autres sites Web tels que:

  • ums.adtech [.] de;
  • x.bidswitch [.] net;
  • pubmatic [.] com;
  • casalmedia [.] com;
  • ads.yahoo [.] com;
  • pixel.rubiconproject [.] com;
  • trc.taboola [.] com;
  • Ib.adnxs [.] Com;
  • idsync.rlcdn [.] com;
  • us-u.openx [.] net;
  • pixel.advertising [.] com;

Plusieurs de ces éléments sont des réseaux publicitaires et sont souvent choisis par des pirates pour afficher des publicités sur votre site Web afin de leur générer des revenus. Chacun d’eux pourrait charger des douzaines d’autres scripts.

Encore une fois, dans ce cas, certains de ces réseaux étaient directement ou indirectement responsables du comportement malveillant, de sorte que la suppression immédiate du script GTM a résolu le problème.

Dans ces deux exemples, il est encore difficile de savoir si le compte Google Tag Manager du client a été compromis et si le client a ajouté le code pour afficher des annonces sur son site Web ou si l’attaquant vient de modifier l’appel d’ID. sur le script pour le faire charger une version entièrement contrôlée par lui.

Les algorithmes de Google Adword bloquent les campagnes en raison d’annonces malveillantes telles que celles-ci, qui sont chargées depuis le script GTM. Cela rend impératif de garder à l’esprit chaque bit de code qui en est appelé.

Redirection simple

Dans un autre exemple que nous avons rencontré, les attaquants ont simplement remplacé l’identifiant de Google Tag Manager pour le charger celui qu’ils voulaient. À l’intérieur de ce script Google Tag Manager était une simple redirection qui mènerait le visiteur à un autre site Web, réalisé avec les éléments suivants:

window.location.href = « http://www.yourdomain.com/somepage.html »;

Pourquoi cibler Google Gestionnaire de balises?

On peut voir pourquoi le script de Google Tag Manager peut être une source potentielle de dissimulation d’activités malveillantes. Un attaquant peut simplement copier tout le contenu de votre version légitime et le mettre dans sa version modifiée tout en ajoutant le contenu malveillant. Après cela, il s’agit juste de changer l’identifiant que votre site Web appelle. Puisque le script viendra déjà avec le nom de Google, de nombreux webmasters l’ignorent probablement, ce qui le rend parfait pour les attaquants qui veulent cacher leur code.

Remarque:

Il est important de comprendre qu’une compromission de votre site Web ou de votre compte Google Tag Manager doit avoir lieu pour permettre à l’attaquant de remplacer le code ou l’ID appelé sur le script pour que le script soit utilisé pour de mauvaises intentions.

Il y a aussi la possibilité que le webmaster lui-même ait ajouté le code qui a ensuite conduit à une activité malveillante, mais c’est quelque chose dont le webmaster doit se méfier à tout moment.

Morale de l’histoire

Le point à retenir ici est que les scripts apparemment fiables ne peuvent jamais être approuvés lorsque des comportements étranges commencent à se produire sur votre site Web. Le plus innocent des scripts, même ceux tels que StatCounter , peut faire des ravages sur votre site et votre réputation.

Tous les actifs externes qui se chargent sur votre site Web doivent être réduits au minimum afin que vous puissiez garder le contrôle sur tout. Tous les comptes qui sont directement connectés doivent être sécurisés avec des mots de passe forts et uniques .

Si vous pensez que votre site Web a été compromis ou qu’il diffuse du contenu malveillant, CMSGUARD peut vous aider .

WP Facebook Auto Publish Powered By : XYZScripts.com