Нападачи злоупотребљавају платформу за развој пословних апликација Гоогле Аппс скрипта за крађу информација о кредитној картици које су дали клијенти веб локација за е-трговину приликом куповине на мрежи.
Ово је известио истраживач безбедности Ерик Брандел, који је ово открио анализирајући податке о раном откривању које је обезбедила Сансец, компанија за сајбер безбедност која је специјализована за борбу против дигиталног скенирања.
Хакери використовують для своїх цілей домен script.google.com і таким чином успішно приховують свою шкідливу активність від захисних рішень, а також обходять Content Security Policy (CSP). Річ у тому, що інтернет-магазини зазвичай розглядають домен Google Apps Script як надійний і часто заносять в білий список взагалі все піддомени Google.
Брендел каже да је пронашао скрипту за веб скимер коју су увели нападачи на веб странице онлајн продавница. Као и свака друга МагеЦарт скрипта, пресреће информације о плаћању корисника.
Оно по чему се ова скрипта разликовала од других сличних решења је то што су све украдене информације о плаћању пренете као ЈСОН кодирани басе64 у Гоогле Аппс Сцрипт, а скрипта [.] Гоогле [.] Цом домен је коришћен за издвајање украдених података. Тек након тога, информације су пренете у аналит домена који контролише нападач [.] Тецх.
„Злонамерни домен аналит [.] Тецх регистрован је истог дана као и претходно откривени злонамерни домени хотјар [.] Хост и пикелм [.] Тецх, који се налазе на истој мрежи“, примећује истраживач.
Мора се рећи да ово није први пут да хакери злоупотребљавају Гоогле услуге уопште, а посебно Гоогле Аппс Сцрипт. На пример, још 2017. године постало је познато да група Царбанак користи Гоогле услуге (Гоогле Аппс Сцрипт, Гоогле Схеетс и Гоогле Формс) као основу за своју Ц&Ц инфраструктуру. Такође 2020. године објављено је да се платформа Гоогле аналитике такође злоупотребљава за нападе типа МагеЦарт.
Прочитајте такође: