Útočníci zneužívajú platformu na vývoj obchodných aplikácií Skript služby Google Apps za krádež informácií o kreditných kartách, ktoré poskytli zákazníci webových stránok elektronického obchodu pri online nákupoch.
Informoval o tom bezpečnostný výskumník Eric Brandel, ktorý to zistil pri analýze údajov včasnej detekcie poskytnutých spoločnosťou Sansec, ktorá sa zaoberá kybernetickou bezpečnosťou, ktorá sa špecializuje na boj proti digitálnemu skenovaniu.
Hackeri využívajú na svoje účely doménu script.google.com a úspešne tak skrývajú svoju zákernú činnosť pred bezpečnostnými riešeniami a obchádzajú Zásady zabezpečenia obsahu (CSP). Faktom je, že internetové obchody zvyčajne považujú doménu Google Apps Script za spoľahlivú a často uvádzajú na zoznam povolených všetky subdomény Google.
Brandel hovorí, že na stránkach internetových obchodov našiel webový skimmerový skript, ktorý zaviedli útočníci. Ako každý iný skript MageCart zachytáva informácie o platbách používateľov.
To, čo odlišovalo tento skript od iných podobných riešení, bolo to, že všetky ukradnuté platobné informácie boli prenesené ako JSON s kódovaním base64 do skriptu Google Apps a skript [.] doména Google [.] Com bol použitý na extrahovanie ukradnutých údajov. Až potom boli informácie prenesené na útočníkom kontrolovaný doménový analytik [.] Tech.
„Škodlivá doména analit [.] Tech bola zaregistrovaná v rovnaký deň ako predtým zistené škodlivé domény hotjar [.] Host a pixelm [.] Tech, ktoré sú hosťované v rovnakej sieti,“ poznamenáva výskumník.
Treba povedať, že to nie je prvýkrát, čo hackeri zneužívajú služby Google vo všeobecnosti a konkrétne Google Apps Script. Napríklad už v roku 2017 bolo známe, že skupina Carbanak využíva služby Google (Google Apps Script, Google Sheets a Google Forms) ako základ pre svoju C&C infraštruktúru. Aj v roku 2020 bolo hlásené, že platforma Google Analytics sa zneužíva aj na útoky typu MageCart.
Prečítajte si tiež: