Οι εισβολείς κάνουν κατάχρηση της πλατφόρμας ανάπτυξης επιχειρηματικών εφαρμογών Σενάριο Google Apps για κλοπή στοιχείων πιστωτικής κάρτας που παρέχονται από πελάτες ιστοτόπων ηλεκτρονικού εμπορίου κατά την πραγματοποίηση ηλεκτρονικών αγορών.
Αυτό αναφέρθηκε από τον ερευνητή ασφάλειας Eric Brandel, ο οποίος το ανακάλυψε κατά την ανάλυση των δεδομένων έγκαιρης ανίχνευσης που παρέχονται από τη Sansec, μια εταιρεία κυβερνοασφάλειας που ειδικεύεται στην καταπολέμηση της ψηφιακής σάρωσης.
Οι χάκερ χρησιμοποιούν τον τομέα script.google.com για τους σκοπούς τους και έτσι αποκρύπτουν με επιτυχία την κακόβουλη δραστηριότητά τους από λύσεις ασφαλείας και παρακάμπτουν την Πολιτική Ασφάλειας Περιεχομένου (CSP). Το γεγονός είναι ότι τα ηλεκτρονικά καταστήματα συνήθως θεωρούν τον τομέα Google Apps Script ως αξιόπιστο και συχνά στη λίστα επιτρεπόμενων όλων των υποτομέων της Google.
Ο Brandel λέει ότι βρήκε ένα σενάριο web skimmer που εισήχθη από επιτιθέμενους σε ιστότοπους ηλεκτρονικών καταστημάτων. Όπως κάθε άλλο σενάριο MageCart, παρεμποδίζει τα στοιχεία πληρωμής των χρηστών.
Αυτό που έκανε αυτό το σενάριο διαφορετικό από άλλες παρόμοιες λύσεις ήταν ότι όλες οι κλεμμένες πληροφορίες πληρωμής μεταδόθηκαν ως JSON με κωδικοποίηση base64 στο Google Apps Script και ο τομέας σεναρίου [.] Google [.] Com χρησιμοποιήθηκε για την εξαγωγή των κλεμμένων δεδομένων. Μόνο μετά από αυτό, οι πληροφορίες μεταφέρθηκαν στον ελεγχόμενο από τον εισβολέα τομέα analit [.] Tech.
«Ο κακόβουλος τομέας analit [.] Tech καταχωρήθηκε την ίδια ημέρα με τους προηγουμένως εντοπισμένους κακόβουλους τομείς hotjar [.] Host και pixelm [.] Tech, οι οποίοι φιλοξενούνται στο ίδιο δίκτυο», σημειώνει ο ερευνητής.
Πρέπει να πούμε ότι δεν είναι η πρώτη φορά που οι χάκερ κάνουν κατάχρηση των υπηρεσιών της Google γενικά και του Google Apps Script ειδικότερα. Για παράδειγμα, το 2017 έγινε γνωστό ότι ο όμιλος Carbanak χρησιμοποιεί υπηρεσίες Google (Google Apps Script, Google Sheets και Google Forms) ως βάση για την υποδομή C&C. Επίσης το 2020, αναφέρθηκε ότι η πλατφόρμα Google Analytics γίνεται επίσης κατάχρηση για επιθέσεις τύπου MageCart.
Διαβάστε επίσης: