Hyökkääjät käyttävät väärin yrityssovellusten kehitysalustaa Google-sovellusten komentosarja verkkokauppasivustojen asiakkaiden antamien luottokorttitietojen varastamisesta verkko-ostoksia tehdessään.
Tämän kertoi tietoturvatutkija Eric Brandel, joka havaitsi tämän analysoidessaan digitaalisen skannauksen torjuntaan erikoistuneen kyberturvayrityksen Sansecin varhaisen havaitsemisen tietoja.
Hakkerit käyttävät script.google.com-verkkotunnusta tarkoituksiinsa ja piilottavat siten haitallisen toimintansa tietoturvaratkaisuilta ja ohittavat sisällön suojauskäytännön (CSP). Tosiasia on, että verkkokaupat pitävät Google Apps Script -verkkotunnusta yleensä luotettavana ja lisäävät usein kaikki Googlen aliverkkotunnukset sallittujen luetteloon.
Brandel kertoo löytäneensä verkkokauppojen verkkosivuilta hyökkääjien käyttöön ottaman web-skimmerin. Kuten mikä tahansa muu MageCart-skripti, se sieppaa käyttäjien maksutiedot.
Tämä skripti erosi muista vastaavista ratkaisuista oli se, että kaikki varastetut maksutiedot välitettiin base64-koodattuina JSON-muodossa Google Apps Scriptiin ja skriptiä [.] Google [.] Com käytettiin poimimaan varastetut tiedot. Vasta sen jälkeen tiedot siirrettiin hyökkääjän ohjaamaan verkkotunnukseen analit [.] Tech.
"Haitallinen domain analit [.] Tech rekisteröitiin samana päivänä kuin aiemmin havaitut haitalliset verkkotunnukset hotjar [.] Host ja pixelm [.] Tech, joita isännöidään samassa verkossa", tutkija huomauttaa.
On sanottava, että tämä ei ole ensimmäinen kerta, kun hakkerit käyttävät väärin Googlen palveluita yleensä ja Google Apps Scriptiä erityisesti. Esimerkiksi jo vuonna 2017 tuli tunnetuksi, että Carbanak-konserni käyttää Googlen palveluita (Google Apps Script, Google Sheets ja Google Forms) C&C-infrastruktuurinsa perustana. Myös vuonna 2020 kerrottiin, että Google Analytics -alustaa käytetään väärin myös MageCart-tyyppisiin hyökkäyksiin.
Lue myös: