Napadači zloupotrebljavaju platformu za razvoj poslovnih aplikacija Skripta za Google Apps za krađu podataka o kreditnim karticama koje su dali korisnici web stranica za e-trgovinu prilikom kupovine na mreži.
Ovo je izvijestio istraživač sigurnosti Eric Brandel, koji je to otkrio analizirajući podatke o ranom otkrivanju koje je dala Sansec, kompanija za cyber sigurnost koja je specijalizirana za borbu protiv digitalnog skeniranja.
Hakeri koriste domen script.google.com u svoje svrhe i tako uspješno skrivaju svoje zlonamjerne aktivnosti od sigurnosnih rješenja i zaobilaze Politiku sigurnosti sadržaja (CSP). Činjenica je da online trgovine obično smatraju domenu Google Apps Script pouzdanom i često stavljaju sve Google poddomene na bijelu listu.
Brandel kaže da je pronašao skriptu web skimera koju su uveli napadači na web stranice online trgovina. Kao i svaka druga MageCart skripta, presreće informacije o plaćanju korisnika.
Ono po čemu se ova skripta razlikovala od drugih sličnih rješenja je to što su sve ukradene informacije o plaćanju prenijete kao base64 kodirani JSON na Google Apps Script, a skripta [.] Google [.] Com domena je korištena za izdvajanje ukradenih podataka. Tek nakon toga, informacije su prebačene u analit domene pod kontrolom napadača [.] Tech.
"Zlonamjerni domen analit [.] Tech registrovan je istog dana kao i prethodno otkriveni zlonamjerni domeni hotjar [.] Host i pixelm [.] Tech, koji se nalaze na istoj mreži," napominje istraživač.
Mora se reći da ovo nije prvi put da hakeri zloupotrebljavaju Googleove usluge općenito, a posebno Google Apps Script. Na primjer, još 2017. godine postalo je poznato da Carbanak grupa koristi Googleove usluge (Google Apps Script, Google Sheets i Google Forms) kao osnovu za svoju C&C infrastrukturu. Također 2020. godine objavljeno je da se platforma Google Analytics također zloupotrebljava za napade tipa MageCart.
Pročitajte također: