Зловмисники зловживають платформою розробки бізнес-застосунків Google Apps Script для крадіжки інформації про кредитні картки, наданої клієнтами веб-сайтів електронної комерції при здійсненні покупок в Інтернеті.
Про це розповів дослідник безпеки Ерік Брандел, який виявив це при аналізі даних раннього виявлення порушень, наданих Sansec, компанією з кібербезпеки, що спеціалізується на боротьбі з цифровим скануванням.
Хакери використовують для своїх цілей домен script.google.com і таким чином успішно приховують свою шкідливу активність від захисних рішень, а також обходять Content Security Policy (CSP). Річ у тому, що інтернет-магазини зазвичай розглядають домен Google Apps Script як надійний і часто заносять в білий список взагалі все піддомени Google.
Брандел розповідає, що знайшов скрипт веб-скімера, впровадженого зловмисниками на сайти інтернет-магазинів. Як і будь-який інший MageCart-скрипт, він перехоплює платіжну інформацію користувачів.
Від інших схожий рішень цей скрипт відрізняло те, що вся крадена платіжна інформація передавалася у вигляді JSON в кодуванні base64 в Google Apps Script, і домен script [.] Google [.] Com використовувався для вилучення крадених даних. Тільки після цього інформація передавалася на підконтрольний атакуючим домен analit [.] Tech.
«Шкідливий домен analit [.] Tech був зареєстрований в той же день, що і раніше виявлені шкідливі домени hotjar [.] Host і pixelm [.] Tech, які розміщені в тій же мережі», – зазначає дослідник.
Потрібно сказати, що це не перший випадок, коли хакери зловживають сервісами Гугла в цілому і Google Apps Script зокрема. Наприклад, ще у 2017 році стало відомо, що угруповання Carbanak використовує сервіси Гугл (Google Apps Script, Google Sheets і Google Forms) в якості основи для своєї C&C-інфраструктури. Також у 2020 році повідомлялося, що платформою Google Analytics теж зловживають для атак типу MageCart.
Читайте також: