Napadalci zlorabljajo platformo za razvoj poslovnih aplikacij Skript Google Apps za krajo podatkov o kreditni kartici, ki so jih posredovali kupci spletnih mest za e-trgovino pri spletnih nakupih.
O tem je poročal varnostni raziskovalec Eric Brandel, ki je to odkril med analizo podatkov o zgodnjem odkrivanju, ki jih je zagotovilo podjetje Sansec, podjetje za kibernetsko varnost, ki je specializirano za boj proti digitalnemu skeniranju.
Hekerji za svoje namene uporabljajo domeno script.google.com in tako svojo zlonamerno aktivnost uspešno skrivajo pred varnostnimi rešitvami ter obidejo Content Security Policy (CSP). Dejstvo je, da spletne trgovine domeno Google Apps Script običajno smatrajo za zanesljivo in pogosto na belo listo uvrstijo vse Googlove poddomene.
Brandel pravi, da je na spletnih straneh spletnih trgovin našel skripto spletnega skimmerja, ki so jo vnesli napadalci. Kot katera koli druga skripta MageCart prestreže plačilne podatke uporabnikov.
Ta skript se je od drugih podobnih rešitev razlikoval po tem, da so bili vsi ukradeni podatki o plačilu preneseni kot JSON, kodiran z base64, v Google Apps Script, domena skripta [.] Google [.] Com pa je bila uporabljena za pridobivanje ukradenih podatkov. Šele po tem so se informacije prenesle na domeno analit, ki jo nadzoruje napadalec [.] Tech.
»Zlonamerna domena analit [.] Tech je bila registrirana na isti dan kot prej odkriti zlonamerni domeni hotjar [.] Host in pixelm [.] Tech, ki gostujeta v istem omrežju,« ugotavlja raziskovalec.
Povedati je treba, da to ni prvič, da hekerji zlorabljajo Googlove storitve na splošno in še posebej Google Apps Script. Na primer, že leta 2017 je postalo znano, da skupina Carbanak uporablja Googlove storitve (Google Apps Script, Google Sheets in Google Forms) kot osnovo za svojo C&C infrastrukturo. Tudi leta 2020 so poročali, da je platforma Google Analytics zlorabljena tudi za napade tipa MageCart.
Preberite tudi: