A támadók visszaélnek az üzleti alkalmazások fejlesztési platformjával Google App Script az e-kereskedelmi webhelyek ügyfelei által online vásárlás során megadott hitelkártyaadatok ellopása miatt.
Erről Eric Brandel biztonsági kutató számolt be, aki a Sansec, a digitális szkennelés elleni küzdelemre szakosodott kiberbiztonsági vállalat korai észlelési adatainak elemzése közben fedezte fel.
A hackerek a script.google.com domaint használják céljaikra, és így sikeresen elrejtik rosszindulatú tevékenységeiket a biztonsági megoldások elől, és megkerülik a tartalombiztonsági szabályzatot (CSP). Az a tény, hogy az online áruházak általában megbízhatónak tekintik a Google Apps Script domaint, és gyakran az összes Google-aldomaint engedélyezőlistára teszik.
Brandel azt mondja, hogy talált egy web-szkimmer szkriptet, amelyet támadók vezettek be az online áruházak webhelyein. Mint minden más MageCart szkript, elfogja a felhasználók fizetési adatait.
Amiben ez a szkript különbözött a többi hasonló megoldástól, az az volt, hogy az összes ellopott fizetési információ base64-kódolású JSON-ként került továbbításra a Google Apps Script-be, és a [.] Google [.] Com domain szkriptet használták az ellopott adatok kinyerésére. Csak ezt követően került át az információ a támadó által vezérelt tartományba az analit [.] Tech.
"Az analit [.] Tech rosszindulatú domaint ugyanazon a napon regisztrálták, mint a korábban észlelt hotjar [.] Host és pixelm [.] Tech rosszindulatú tartományokat, amelyek ugyanazon a hálózaton találhatók" - jegyzi meg a kutató.
Azt kell mondanunk, hogy nem ez az első eset, hogy a hackerek visszaélnek a Google szolgáltatásaival általában, és különösen a Google Apps Scripttel. Például 2017-ben vált ismertté, hogy a Carbanak csoport a Google szolgáltatásait (Google Apps Script, Google Sheets és Google Forms) használja C&C infrastruktúrájának alapjaként. Szintén 2020-ban jelentették, hogy a Google Analytics platformot is visszaélnek MageCart típusú támadásokkal.
Olvassa el még: