Uzbrucēji ļaunprātīgi izmanto biznesa lietojumprogrammu izstrādes platformu Google Apps skripts par kredītkaršu informācijas zādzību, ko sniedz e-komercijas vietņu klienti, veicot pirkumus tiešsaistē.
Par to ziņoja drošības pētnieks Ēriks Brandels, kurš to atklāja, analizējot agrīnās noteikšanas datus, ko sniedzis Sansec, kiberdrošības uzņēmums, kas specializējas digitālās skenēšanas apkarošanā.
Hakeri saviem mērķiem izmanto domēnu script.google.com un tādējādi veiksmīgi slēpj savas ļaunprātīgās darbības no drošības risinājumiem un apiet satura drošības politiku (CSP). Fakts ir tāds, ka tiešsaistes veikali Google Apps Script domēnu parasti uzskata par uzticamu un bieži iekļauj visus Google apakšdomēnus baltajā sarakstā.
Brendels stāsta, ka tiešsaistes veikalu vietnēs atradis uzbrucēju ieviesto tīmekļa skimmera skriptu. Tāpat kā jebkurš cits MageCart skripts, tas pārtver lietotāju maksājumu informāciju.
Šis skripts atšķīrās no citiem līdzīgiem risinājumiem, jo visa nozagtā maksājumu informācija tika pārsūtīta kā base64 kodēts JSON uz Google Apps Script, un skripts [.] Google [.] Com tika izmantots, lai izgūtu nozagtos datus. Tikai pēc tam informācija tika pārsūtīta uz uzbrucēju kontrolēto domēna analit [.] Tech.
"Ļaunprātīgais domēns analit [.] Tech tika reģistrēts tajā pašā dienā, kad iepriekš atklātie ļaunprātīgie domēni hotjar [.] Host un pixelm [.] Tech, kas tiek mitināti vienā tīklā," atzīmē pētnieks.
Jāsaka, ka šī nav pirmā reize, kad hakeri ļaunprātīgi izmanto Google pakalpojumus kopumā un jo īpaši Google Apps Script. Piemēram, tālajā 2017. gadā kļuva zināms, ka Carbanak grupa izmanto Google pakalpojumus (Google Apps Script, Google Sheets un Google Forms) kā savas C&C infrastruktūras pamatu. Arī 2020. gadā tika ziņots, ka Google Analytics platforma tiek ļaunprātīgi izmantota arī MageCart tipa uzbrukumiem.
Lasi arī: