Napadači zlorabe platformu za razvoj poslovnih aplikacija Google Apps skripta za krađu podataka o kreditnoj kartici koje daju korisnici web stranica za e-trgovinu prilikom kupnje na mreži.
To je izvijestio sigurnosni istraživač Eric Brandel, koji je to otkrio dok je analizirao podatke o ranom otkrivanju koje je dostavila Sansec, tvrtka za kibernetičku sigurnost specijalizirana za borbu protiv digitalnog skeniranja.
Hakeri koriste domenu script.google.com za svoje potrebe i tako uspješno skrivaju svoju zlonamjernu aktivnost od sigurnosnih rješenja i zaobilaze Content Security Policy (CSP). Činjenica je da internetske trgovine obično smatraju Google Apps Script domenu pouzdanom i često stavljaju sve Googleove poddomene na bijelu listu.
Brandel kaže da je pronašao web skimmer skriptu koju su uveli napadači na web stranice online trgovina. Kao i svaka druga MageCart skripta, presreće podatke o plaćanju korisnika.
Ono što je ovu skriptu činilo drugačijom od drugih sličnih rješenja je to što su svi ukradeni podaci o plaćanju prenošeni kao base64-kodirani JSON u Google Apps Script, a skripta [.] Google [.] Com domena korištena je za izdvajanje ukradenih podataka. Tek nakon toga, podaci su prebačeni u domenu koju kontrolira napadač analit [.] Tech.
"Zlonamjerna domena analit [.] Tech registrirana je istog dana kad i prethodno otkrivene zlonamjerne domene hotjar [.] Host i pixelm [.] Tech, koje se nalaze na istoj mreži", napominje istraživač.
Mora se reći da ovo nije prvi put da hakeri zlorabe Googleove usluge općenito, a posebno Google Apps Script. Primjerice, još 2017. doznalo se da Carbanak grupa koristi Googleove usluge (Google Apps Script, Google Sheets i Google Forms) kao temelj svoje C&C infrastrukture. Također je 2020. objavljeno da se platforma Google Analytics također zlorabi za napade tipa MageCart.
Pročitajte također: