L’article publié par Sucuri analyse une campagne de malware ciblant WordPress, qui exploite les conteneurs Google Tag Manager (GTM) pour rediriger les utilisateurs vers des domaines de spam.
Les chercheurs en sécurité ont découvert que cette attaque injecte des scripts GTM malveillants directement dans la base de données WordPress, plutôt que dans les fichiers de thème, rendant ainsi la détection plus difficile. La campagne a déjà affecté plus de 200 sites web et utilise le domaine légitime googletagmanager.com pour contourner les filtres de sécurité.
Le malware redirige les utilisateurs vers le site spelletjes.nl après un délai de 4 à 5 secondes, ce qui nuit à la confiance des utilisateurs et au SEO des sites affectés. Le script malveillant est injecté dans la table wp_options sous le nom d’option ‘ihaf_insert_body’ et dans la table wp_posts.
Le script chargé depuis https://www.googletagmanager.com/gtm.js exécute une redirection JavaScript côté client en utilisant window.location.href. Le payload final est échappé en Unicode et hébergé à distance sur le CDN de Google, permettant aux attaquants de contrôler la destination de la redirection sans accès au système de fichiers.
Pour remédier à cette attaque, il est nécessaire de supprimer les balises GTM suspectes, de nettoyer la base de données et de mettre en place une authentification à deux facteurs pour l’accès à wp-admin. Cet article est une analyse technique visant à informer sur les vecteurs d’attaque et les mesures de remédiation.
🧠 TTP et IOC détecté
TTP
T1190: Exploitation for Client Execution, T1566.002: Phishing: Spearphishing Link, T1071.001: Application Layer Protocol: Web Protocols, T1573: Encrypted Channel, T1105: Ingress Tool Transfer, T1070.004: Indicator Removal on Host
IOC
spelletjes.nl, googletagmanager.com, ihaf_insert_body
🔗 Source originale : https://blog.sucuri.net/2025/07/wordpress-redirect-malware-hidden-in-google-tag-manager-code.html