攻擊者濫用業務應用開發平台 Google Apps腳本 用於竊取電子商務網站客戶在網上購物時提供的信用卡信息。
安全研究員 Eric Brandel 報告了這一點,他在分析專門打擊數字掃描的網絡安全公司 Sansec 提供的早期檢測數據時發現了這一點。
駭客使用 script.google.com 網域來達到其目的,從而成功地從安全解決方案中隱藏其惡意活動並繞過內容安全策略 (CSP)。事實上,線上商店通常認為 Google Apps 腳本網域是可靠的,並且通常將所有 Google 子網域列入白名單。
Brandel 說,他在網上商店的網站上發現了攻擊者引入的 Web skimmer 腳本。 與任何其他 MageCart 腳本一樣,它會攔截用戶的付款信息。
該腳本與其他類似解決方案的不同之處在於,所有被盜的支付信息都以 base64 編碼的 JSON 格式傳輸到 Google Apps Script,並且腳本 [.] Google [.] Com 域用於提取被盜數據。 只有在那之後,信息才被轉移到攻擊者控制的域analit [.] Tech。
“惡意域 analit [.] Tech 與之前檢測到的惡意域 hotjar [.] Host 和 pixelm [.] Tech 是在同一天註冊的,它們託管在同一網絡上,”研究人員指出。
必須說,這不是黑客第一次濫用 Google 服務,尤其是 Google Apps Script。 例如,早在 2017 年,眾所周知,Carbanak 集團使用 Google 服務(Google Apps Script、Google Sheets 和 Google Forms)作為其 C&C 基礎設施的基礎。 同樣在 2020 年,據報導,谷歌分析平台也被濫用於 MageCart 類型的攻擊。
另請閱讀: