Útočníci zneužívají platformu pro vývoj obchodních aplikací Skript služby Google Apps za krádež informací o kreditních kartách poskytnutých zákazníky webových stránek elektronického obchodu při online nákupech.
Oznámil to bezpečnostní výzkumník Eric Brandel, který to zjistil při analýze dat včasné detekce poskytnutých společností Sansec, která se zabývá kybernetickou bezpečností, která se specializuje na boj proti digitálnímu skenování.
Hackeři využívají pro své účely doménu script.google.com a úspěšně tak skrývají svou zákeřnou činnost před bezpečnostními řešeními a obcházejí Zásady zabezpečení obsahu (CSP). Faktem je, že internetové obchody obvykle považují doménu Google Apps Script za spolehlivou a často zařazují všechny subdomény Google na seznam povolených.
Brandel říká, že našel webový skimmerový skript, který útočníci představili na stránkách internetových obchodů. Stejně jako jakýkoli jiný skript MageCart zachycuje platební údaje uživatelů.
Čím se tento skript lišil od jiných podobných řešení, bylo to, že všechny ukradené platební informace byly přeneseny jako JSON s kódováním base64 do skriptu Google Apps a skript [.] Google [.] Com domain byl použit k extrakci ukradených dat. Teprve poté byly informace přeneseny do útočníkem kontrolované domény analit [.] Tech.
„Škodlivá doména analit [.] Tech byla zaregistrována ve stejný den jako dříve zjištěné škodlivé domény hotjar [.] Host a pixelm [.] Tech, které jsou hostovány ve stejné síti,“ poznamenává výzkumník.
Nutno říci, že to není poprvé, co hackeři zneužívají služby Google obecně a Google Apps Script konkrétně. Například již v roce 2017 bylo známo, že skupina Carbanak používá služby Google (Google Apps Script, Google Sheets a Google Forms) jako základ své infrastruktury C&C. Také v roce 2020 bylo hlášeno, že platforma Google Analytics je také zneužívána k útokům typu MageCart.
Přečtěte si také: