Eksploitasi Belanja Daring Ulah Magecart Terbaru

Eksploitasi Belanja Daring Ulah Magecart Terbaru – Grup peretas legendaris Magecart kembali menebar ancaman dengan taktik yang jauh lebih licik.

Kali ini, mereka menyalahgunakan Google Tag Manager (GTM) alat pengelola skrip pemasaran yang dipercaya jutaan situs web untuk menyisipkan alat pencuri data kartu kredit (skimmer) secara diam-diam.

Karena skrip ini dimuat langsung dari domain tepercaya googletagmanager.com, sebagian besar alat keamanan dan pemilik situs web jarang mencurigainya.

Kepercayaan inilah yang dimanfaatkan oleh kelompok peretas untuk mencuri data pembayaran pengunjung secara real-time saat mereka melakukan checkout di toko daring.

Evolusi Kelompok ATMZOW

Para peneliti keamanan dari Sucuri telah melacak kampanye ini dan menghubungkannya dengan aktor ancaman bernama ATMZOW, bagian dari jaringan Magecart yang telah beroperasi sejak 2015.

Kelompok ini dikenal sangat gigih; ketika Google menghapus satu wadah (container) GTM yang terinfeksi, mereka dengan cepat membuat wadah baru untuk memulai kembali infeksinya.

Sepanjang tahun lalu, tercatat ratusan situs web terinfeksi oleh wadah Gatif GTM tertentu. Bahkan, dalam beberapa kasus, satu situs web ditemukan terinfeksi oleh dua jenis skimmer berbeda secara bersamaan, menunjukkan betapa rentannya platform belanja daring terhadap serangan berlapis.

Cara Kerja Skimmer Google Tag Manager

Skimmer ATMZOW menggunakan rangkaian skrip yang dikaburkan (obfuscated) untuk memanen data kartu kredit. Berikut adalah rincian teknisnya:

Aktivasi Terarah: Skrip ini cukup cerdas untuk mengecek apakah pengunjung sedang berada di halaman pembayaran atau checkout. Jika tidak, skrip akan tetap pasif untuk menghindari deteksi oleh pemindai keamanan otomatis.
Infrastruktur yang Berotasi: Untuk menghindari pelacakan, malware ini secara acak memilih dua domain dari daftar 40 alamat yang baru didaftarkan untuk memuat muatannya. Nama domainnya dibuat seolah-olah terkait dengan analisis web, seperti sketchinsightswatch[.]com.
Perlindungan Cloudflare: Para penyerang menyembunyikan server mereka di balik firewall Cloudflare untuk mencegah deteksi berdasarkan alamat IP.
Teknik Pengaburan Mandiri: Kode berbahaya tersebut menggunakan mekanisme dekode khusus yang bergantung pada panjang karakter skrip yang tepat. Jika ada modifikasi sedikit saja pada skrip, proses dekode akan gagal, menjadikannya sangat tahan terhadap analisis statis.

Mitigasi bagi Pemilik Situs dan Pembeli

Bagi pemilik bisnis e-commerce dan konsumen, kewaspadaan ekstra sangat diperlukan di pertengahan tahun 2026 ini:

Bagi Pemilik Situs Web (Khususnya Pengguna Magento):

Audit Skrip GTM secara Rutin: Periksa semua wadah GTM yang aktif. Pastikan tidak ada ID wadah asing (seperti GTM-NTV2JTB4 atau GTM-MX7L8F2M) yang terpasang tanpa izin administrator.
Tinjau Database Konfigurasi: Periksa tabel core_config_data pada database Magento Anda, karena ini adalah lokasi paling umum di mana skrip pencuri data ditanamkan.
Terapkan Content Security Policy (CSP): Gunakan kebijakan CSP yang ketat untuk membatasi domain mana saja yang diizinkan untuk mengirimkan data dari situs Anda.
Gunakan Proteksi dari ESET: Solusi keamanan dari ESET dapat membantu mendeteksi keberadaan skrip mencurigakan di sisi klien dan memblokir koneksi ke domain-domain yang dikenal sebagai server pengumpul data Magecart.

Bagi Konsumen/Pembelanja Daring:

Gunakan Metode Pembayaran Virtual: Gunakan kartu kredit virtual atau layanan seperti Apple Pay/Google Pay yang tidak membagikan nomor kartu asli ke situs web pedagang.
Pantau Riwayat Transaksi: Selalu periksa mutasi rekening Anda secara berkala untuk mendeteksi transaksi kecil mencurigakan yang sering kali menjadi tes awal sebelum pencurian besar dilakukan.
Gunakan Browser yang Aman: Pastikan peramban Anda selalu diperbarui dan dilengkapi dengan ekstensi pelindung privasi yang dapat memblokir skrip pelacak berbahaya.

Kepercayaan Digital yang Dieksploitasi

Kasus Magecart dan Google Tag Manager ini menjadi pengingat pahit bahwa alat yang paling tepercaya sekalipun dapat diubah menjadi senjata siber.

Strategi keamanan tidak boleh hanya mengandalkan daftar domain putih (whitelist). Verifikasi berkelanjutan terhadap setiap skrip yang berjalan di situs web adalah satu-satunya cara untuk memastikan data pelanggan tetap aman dari pengintaian digital yang semakin canggih.

Baca artikel lainnya: