Blog Attacks

Contêineres Shadow GTM em plataformas de jogos de azar multimarcas: o que são e como detectá-los

Contêineres GTM não autorizados executam JavaScript em seus domínios de jogo. Como surgem, o que fazem e por que as ferramentas não os detectam.

Jun 25, 2026 • 13 min read

Mike Kutlu Client-Side Security Consultant

Se a sua plataforma gerencia 70 ou mais marcas de cassino, o Google Tag Manager quase certamente está sendo executado em todos os domínios. E nesses domínios, o número de IDs de contêiner ativos que sua equipe de segurança revisou formalmente é provavelmente muito menor do que o número realmente executado nos navegadores dos jogadores. Essa lacuna é o problema da sombra GTM. No Q1 2025, cside detectou mais de 300.000 sinais de ataque em sites monitorados, com execução não autorizada de scripts por meio de gerenciadores de tags representando um dos vetores de ataque mais consistentes no segmento iGaming. Ao trabalhar com operadores de jogos de azar multimarcas, tenho visto essa lacuna entre os contêineres que as equipes de segurança conhecem e os contêineres que realmente são executados nos navegadores dos jogadores crescer cada vez mais com cada marca adicionada a um portfólio.

O que realmente é um contêiner GTM e por que ele é importante para a segurança

Resposta rápida: Um contêiner Google Tag Manager é um ambiente de execução JavaScript carregado em seu domínio com acesso total ao DOM, cookies, armazenamento do navegador e solicitações de rede. Qualquer tag publicada dentro desse contêiner é executada com as mesmas permissões que seu próprio código primário. Um ID de contêiner não autorizado em seu domínio equivale a conceder acesso de gravação a uma parte desconhecida à sua interface voltada para o jogador.**

Google Tag Manager foi projetado para permitir que não desenvolvedores implantem JavaScript em sites ativos sem envolvimento de engenharia. Essa é a sua principal proposta de valor para as equipes de marketing e análise. Do ponto de vista da segurança, esse mesmo recurso significa que um único ID de contêiner em um modelo de site é um contexto de execução aberto para qualquer pessoa com direitos de publicação nesse contêiner. Para ilustrar a escala do problema: um único contêiner GTM pode disparar 48 ou mais scripts filhos, e cada um desses scripts pode carregar dependências adicionais. A cadeia de carga do fornecedor é uma árvore, não uma lista, e a maioria das equipes de segurança conhece apenas a raiz.

Quando as equipes de segurança auditam sua superfície de ataque, normalmente se concentram em:

Infraestrutura e APIs do lado do servidor
Autenticação e gerenciamento de sessão
Scripts de terceiros conhecidos na base de código

O que raramente é auditado é o próprio inventário do contêiner GTM: quais IDs de contêiner estão ativos em quais domínios, quem tem acesso de publicação e quais tags estão atualmente configuradas para serem disparadas. Para uma plataforma multimarca com 70 a 200 domínios, esse inventário quase nunca é mantido com rigor de segurança.

O cenário de ameaças ENISA para ataques à cadeia de suprimentos identifica scripts de terceiros e comprometimento de dependências como uma das principais categorias de ataque crescente. Os contêineres GTM estão no centro desse risco porque são simultaneamente confiáveis pelo navegador, controlados por pessoal não relacionado à segurança e capazes de executar código arbitrário. Para uma visão mais ampla de como as dependências de terceiros se tornam vetores de ataque antes de chegarem ao seu gerenciador de tags, vale a pena entender o padrão de ataque à cadeia de suprimentos por si só.

Como os contêineres Shadow GTM aparecem nas plataformas de jogos de azar

Resposta rápida: Os contêineres shadow alcançam os domínios iGaming por meio de quatro rotas principais: equipes afiliadas incorporando seus próprios IDs de contêiner durante a configuração da campanha, funcionários da agência adicionando contêineres a lançamentos de novas marcas sem revisão de engenharia, credenciais comprometidas que dão aos invasores acesso à conta GTM e atalhos de desenvolvedor onde um ID de contêiner de teste é promovido para produção e nunca removido.**

O termo "sombra" não implica necessariamente intenção maliciosa no momento da inserção. Muitos shadow containers começam como decisões operacionais legítimas que nunca foram limpas ou revisadas. Mas eles criam contextos de execução persistentes e não monitorados que podem ser explorados muito depois de seu propósito original ter terminado.

Aqui estão as quatro origens mais comuns observadas em plataformas iGaming multimarcas:

O contêiner da equipe de afiliados acrescenta: uma equipe de marketing de desempenho fecha um acordo com uma rede de afiliados que exige um pixel disparado via GTM. O afiliado fornece seu próprio ID de contêiner. O marketing o adiciona diretamente ao modelo de domínio sem gerar um tíquete de segurança. O contêiner é acionado em todas as páginas voltadas para o jogador desse ponto em diante.
Lançamentos de novas marcas: durante o lançamento de uma marca em rápido movimento, uma agência ou desenvolvedor adiciona um contêiner GTM temporário para criar protótipos de análise e rastreamento. Após o lançamento, o contêiner permanece ativo porque ninguém é o proprietário da tarefa de descomissionamento.
Credenciais GTM comprometidas: um agente de ameaça obtém acesso a um contêiner GTM autorizado existente por meio de um fornecedor de marketing de phishing ou de um ataque de preenchimento de credenciais em uma conta do Google vinculada ao contêiner. Eles publicam uma nova tag maliciosa em um contêiner já confiável.
Atalhos do desenvolvedor: um controle de qualidade ou ID de contêiner de teste é codificado em um modelo compartilhado durante a construção de um site. Quando o modelo é publicado em vários domínios, o contêiner de teste o acompanha, e os contêineres de teste normalmente têm acesso de publicação menos controlado.

Em todos esses casos, os logs de rede da plataforma mostram a mesma entrada: uma solicitação GET bem-sucedida para www.googletagmanager.com/gtm.js?id=GTM-XXXXXXX. O ID do contêiner fica visível no URL, mas não tem referência cruzada com um inventário aprovado de forma automatizada.

O que pode ser executado dentro de um contêiner não autorizado

Resposta rápida: Dentro de um contêiner GTM não autorizado, um invasor pode implantar scripts de pixel que exfiltram PII do jogador para redes de anúncios de terceiros, injetar código de redirecionamento que desvia os jogadores para sites concorrentes, instalar skimmers de campo de formulário em páginas de depósito, executar rastreamento de afiliados ocultos que sequestra a atribuição de conversão ou carregar cargas maliciosas adicionais de domínios externos, tudo sem ocupar espaço no servidor.**

A gama de cargas úteis que um contêiner GTM pode entregar é limitada apenas pelo que JavaScript pode fazer no navegador. Na prática, quatro categorias de carga útil são mais relevantes para plataformas iGaming.

Primeiro, pixels de rastreamento de sombra. Um contêiner pode disparar eventos de pixel do Facebook, TikTok ou LinkedIn com IDs de pixel não primários. Para um operador de jogos de azar que não pode anunciar legalmente nessas plataformas, isso é tanto uma violação do GDPR quanto uma violação da política de publicidade, e o operador pode estar completamente inconsciente do que está acontecendo.

Em segundo lugar, os scripts de redirecionamento do jogador. Conforme detalhado no contexto do sequestro da jornada do jogador, uma tag HTML personalizada dentro de um contêiner GTM pode interceptar eventos de clique em botões de depósito, formulários de login ou CTAs de bônus e redirecionar os jogadores para um destino concorrente. O sistema de gatilho integrado do contêiner facilita limitar isso a páginas, dispositivos ou segmentos de usuários específicos.

Terceiro, forme skimmers de campo. Em páginas de depósito ou KYC onde os jogadores inserem detalhes do cartão ou documentos de identidade, uma tag GTM pode anexar ouvintes de eventos a campos de entrada e exfiltrar os valores inseridos para um terminal remoto. Este é um equivalente na camada de navegador dos ataques do estilo Magecart, executados sem tocar no código do servidor.

Quarto, scripts de carregamento. Uma tag de contêiner pode carregar arquivos JavaScript externos adicionais, transformando efetivamente o contêiner GTM em um dropper de carga útil de primeiro estágio. O domínio que atende a carga adicional pode não estar em nenhuma lista de bloqueio no momento do carregamento, tornando a detecção da camada de rede não confiável.

Por que as ferramentas existentes perdem a atividade do Shadow Container

Resposta rápida: As ferramentas de monitoramento de rede e as soluções da camada CDN verificam que o GTM.js foi carregado com êxito a partir da infraestrutura do Google. Eles não veem quais IDs de contêineres estavam ativos, quais tags foram disparadas nesses contêineres ou quais JavaScript essas tags executaram após o carregamento. A superfície de ataque reside inteiramente dentro do tempo de execução JavaScript do navegador, após a conclusão da transação de rede.**

Essa é a lacuna arquitetônica que torna os contêineres shadow GTM um risco persistente e pouco abordado. A tabela abaixo mapeia cada ferramenta comum para o que ela pode ou não observar em um cenário GTM de sombra.

Categoria de ferramenta	O que PODE ver	O que NÃO PODE ver
Content Security Policy (CSP)	Se os scripts são carregados de domínios permitidos	Qual ID do contêiner está em execução; qual código é executado dentro de um domínio permitido
Web Application Firewall (WAF)	Cabeçalhos e corpos de solicitação/resposta HTTP	JavaScript sendo executado dentro de uma guia do navegador após o carregamento da página
Análise de tráfego de rede	Esse `gtm.js` foi carregado; ID do contêiner no URL da solicitação	Quais tags foram disparadas dentro do contêiner; o que essas tags executaram; recursos externos carregados após a inicialização
Ferramentas de desenvolvedor de navegador (manual)	Comportamento de tempo de execução completo em um único domínio em um determinado momento	Comportamento de tempo de execução em 70 a 200 domínios continuamente; alterações de tags publicadas dinamicamente

No nosso monitoramento de plataformas de jogos de azar multimarcas, a lacuna de ID do contêiner é consistentemente maior do que as operadoras esperam. As equipes de segurança geralmente têm registros formais de menos da metade dos IDs de contêiner que observamos em execução em seus portfólios de domínio. A discrepância aumenta com a escala da plataforma e mais rapidamente do que a maioria dos processos de governação consegue acompanhar.

A divulgação Sansec polyfill.js em junho de 2024, que afetou mais de 490.000 sites, é um paralelo instrutivo. Cada um desses sites carregou o que parecia ser uma biblioteca legítima e amplamente utilizada de um CDN confiável. Os logs de rede mostraram uma resposta limpa e bem-sucedida. A carga maliciosa só se tornou visível quando alguém olhou o que o JavaScript estava realmente fazendo dentro do navegador. Os contêineres Shadow GTM seguem o mesmo padrão: a camada de rede relata uma carga limpa da infraestrutura do Google e tudo o que se segue é invisível sem a instrumentação da camada do navegador.

Como cside identifica cada contêiner e cada script em todos os domínios

Resposta rápida: cside instrumenta 100% de sessões reais de usuário na camada do navegador, o que significa que ele vê cada ID de contêiner GTM sendo carregado em cada domínio em seu portfólio, cada tag disparada em cada contêiner e cada script que essas tags executam ou carregam. Quando um novo ID de contêiner aparece ou um contêiner conhecido executa um novo tipo de carga útil, cside gera um alerta em tempo real com contexto de execução completo.**

Para plataformas multimarcas, cside fornece um inventário de scripts unificado em todo o portfólio de domínios. Em vez de exigir uma auditoria manual de cada conta GTM, a plataforma revela a realidade do tempo de execução: o que está realmente sendo executado nos navegadores dos jogadores, neste momento, em cada domínio.

Capacidades específicas relevantes para detecção de sombra GTM:

Enumeração de ID de contêiner: cside identifica cada ID de contêiner GTM distinto observado carregando em todos os domínios monitorados, sinalizando qualquer um que não estivesse presente no instantâneo de inventário anterior
Mapeamento de execução de tags: para cada contêiner, cside mapeia quais tags HTML personalizadas e tags de carregamento de script são acionadas e quais domínios externos eles contatam
Alerta de novo payload: quando um contêiner que foi observado anteriormente começa a executar um novo padrão de script ou entrar em contato com um novo domínio externo, um alerta é gerado imediatamente
Correlação entre domínios: se um ID de contêiner sombra aparecer em vários domínios simultaneamente, cside identifica o padrão, o que é útil para detectar ataques coordenados durante lançamentos de novas marcas ou lançamentos de campanhas afiliadas
Cobertura de sessão 100%: como o cside instrumenta cada sessão, não uma amostra, ele captura condições de ataque que são acionadas apenas para segmentos de usuários, dispositivos ou áreas geográficas específicas
Perfis de permissão por fornecedor: uma vez identificado e colocado sob governança um contêiner sombra, os operadores podem atribuir a cada fornecedor carregado com GTM seu próprio perfil de permissão com recursos controláveis específicos. Isso significa que uma tag analítica carregada por meio do GTM pode ter seu acesso restrito aos campos de pagamento, à API de solicitação de pagamento ou ao localStorage, mesmo que o código do fornecedor seja comprometido posteriormente.

cside não depende de monitoramento baseado em proxy ou amostragem passiva de tráfego de rede. A instrumentação é executada dentro do navegador, proporcionando a mesma vantagem dos scripts que ela monitora.

O que a primeira sessão de monitoramento revelou

Quando realizamos a primeira sessão de monitoramento cside em uma importante plataforma europeia de jogos de azar online multimarcas no início deste ano, uma das primeiras coisas que o painel apareceu foi um conjunto de IDs de contêiner GTM que ninguém da equipe de segurança poderia contabilizar. A plataforma operava mais de 70 marcas de cassino e apostas esportivas, e a equipe de segurança acreditava ter um controle razoável sobre seu patrimônio de gerente de tags. O que o inventário da camada do navegador mostrou foi diferente. No primeiro dia de monitoramento do domínio inicial da marca, cside identificou vários IDs de contêiner ativos que foram adicionados pela equipe de marketing sem passar por nenhum processo de revisão de segurança. Os contêineres estavam sendo carregados em páginas ao vivo voltadas para os jogadores há meses.

A equipe de segurança não foi notificada porque a equipe de marketing não sabia que a notificação era necessária. Não houve nenhum processo estabelecido conectando as alterações do gerenciador de tags à supervisão de segurança. Cada contêiner foi adicionado no contexto de uma campanha legítima ou acordo de afiliado e simplesmente nunca foi revisado ou removido. Dentro de 24 horas após o início da sessão de monitoramento, a plataforma teve seu primeiro inventário completo de tempo de execução de cada contêiner em execução no domínio de teste, e um plano de correção estava em andamento para os contêineres não revisados. O comentário da plataforma após a sessão: esta foi a primeira vez que eles viram todo o conjunto de scripts da camada do navegador em um só lugar.

Resumo

Os contêineres Shadow GTM são uma falha de governança que cria uma exposição de segurança. Os contêineres chegam por meio de canais operacionais normais, são carregados a partir da infraestrutura confiável do Google e são invisíveis para todas as ferramentas de monitoramento que não são executadas no navegador. Para plataformas multimarcas, a única abordagem confiável é a instrumentação contínua na camada do navegador que mantém um inventário ativo de cada ID de contêiner, cada tag e cada script em execução em todo o portfólio de domínio. Uma auditoria pontual sempre estará desatualizada no momento em que o próximo contêiner for adicionado. O recurso segurança do lado do cliente do cside fornece esse inventário contínuo e, para obter mais detalhes sobre como as cargas úteis de redirecionamento são entregues por meio desses contêineres, consulte nosso guia para ataques de redirecionamento de scripts maliciosos em plataformas de cassino.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Um contêiner shadow GTM é qualquer ID de contêiner em execução no seu domínio que não tenha sido formalmente revisado e aprovado pela sua equipe de segurança ou engenharia. Tecnicamente, é idêntico a um contêiner autorizado: é carregado a partir da infraestrutura do Google e executado com as mesmas permissões do navegador. A diferença é inteiramente de governança. Sua equipe de segurança não sabe que ele existe e não validou quais tags estão sendo publicadas nele.

A auditoria de suas próprias contas GTM mostra quais IDs de contêiner você controla e quais tags estão configuradas dentro deles. Ele não exibe IDs de contêiner adicionados por terceiros que foram incorporados diretamente nos modelos do seu site, nem mostra o que um contêiner comprometido está realmente executando na produção. O monitoramento da camada do navegador é a única maneira de ver o comportamento do tempo de execução em todos os domínios em tempo real.

A escala e o ritmo das operações multimarcas criam as condições. Cada lançamento de marca, acordo de afiliado ou envolvimento de agência pode introduzir um novo ID de contêiner. Sem um processo centralizado de governança de scripts que encaminhe todas as alterações do gerenciador de tags por meio de uma revisão de segurança, os IDs de contêiner se acumulam mais rápido do que as auditorias conseguem rastreá-los. Quando cside exibe o inventário de contêineres de tempo de execução para uma plataforma multimarcas pela primeira vez, é comum encontrar IDs de contêineres ativos que ninguém na equipe de segurança pode contabilizar.

CSP é uma defesa valiosa, mas não resolve o problema da sombra GTM. Como o GTM é carregado de www.googletagmanager.com, que deve estar na lista de permissões do CSP para que o GTM funcione, qualquer carregamento de ID de contêiner desse domínio passa na validação do CSP. CSP não consegue distinguir entre um contêiner autorizado e um contêiner sombra carregado do mesmo domínio confiável.

As etapas imediatas são: bloquear o disparo do ID do contêiner em seus domínios, removendo-o do modelo de site ou da configuração de publicação do contêiner pai e, em seguida, investigar a origem (qual equipe o adicionou, quando e por meio de qual processo). Revise o histórico de tags do contêiner shadow para identificar o que ele está executando. Preserve registros para qualquer obrigação de relatório regulatório ou forense. Em seguida, atualize o seu processo de governação de scripts para exigir uma revisão de segurança antes de qualquer novo ID de contêiner ser adicionado a qualquer domínio no portfólio.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ataques de scripts de terceiros em plataformas de iGaming

Ataques de script de terceiros em plataformas iGaming em 2026: a nova superfície de ataque que os operadores ignoram

JavaScript de terceiros é a principal superfície de ataque não monitorada no iGaming. Sete classes de ataque e por que as ferramentas as ignoram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.