Užpuolikai piktnaudžiauja verslo programų kūrimo platforma „Google Apps Script“ už elektroninės prekybos svetainių klientų pateiktos kredito kortelių informacijos vagystę pirkdami internetu.
Tai pranešė saugumo tyrinėtojas Ericas Brandelis, kuris tai atrado analizuodamas ankstyvo aptikimo duomenis, kuriuos pateikė kibernetinio saugumo įmonė „Sansec“, kuri specializuojasi kovojant su skaitmeniniu nuskaitymu.
Įsilaužėliai savo tikslams naudoja domeną script.google.com ir taip sėkmingai slepia savo kenkėjišką veiklą nuo saugos sprendimų bei apeina turinio saugos politiką (CSP). Faktas yra tas, kad internetinės parduotuvės paprastai mano, kad „Google Apps Script“ domenas yra patikimas ir dažnai įtraukiami į baltąjį sąrašą visi „Google“ padomeniai.
Brandelis sako, kad internetinių parduotuvių svetainėse rado interneto skimmerio scenarijų, kurį užpuolikai pristatė. Kaip ir bet kuris kitas „MageCart“ scenarijus, jis perima vartotojų mokėjimo informaciją.
Šis scenarijus skyrėsi nuo kitų panašių sprendimų tuo, kad visa pavogta mokėjimo informacija buvo perduota kaip base64 koduota JSON į Google Apps Script, o scenarijus [.] Google [.] Com buvo naudojamas pavogtiems duomenims išgauti. Tik po to informacija buvo perduota užpuoliko valdomam domenui analit [.] Tech.
Kenkėjiškas domenas analit [.] Tech buvo užregistruotas tą pačią dieną kaip ir anksčiau aptikti kenkėjiški domenai hotjar [.] Host ir pixelm [.] Tech, kurie yra talpinami tame pačiame tinkle“, – pažymi mokslininkas.
Reikia pasakyti, kad tai ne pirmas kartas, kai įsilaužėliai piktnaudžiauja „Google“ paslaugomis apskritai ir konkrečiai „Google Apps Script“. Pavyzdžiui, dar 2017 m. tapo žinoma, kad Carbanak grupė naudoja Google paslaugas (Google Apps Script, Google Sheets ir Google Forms) kaip savo C&C infrastruktūros pagrindą. Taip pat 2020 metais buvo pranešta, kad Google Analytics platforma taip pat piktnaudžiaujama dėl MageCart tipo atakų.
Taip pat skaitykite: