Angripere misbruker utviklingsplattformen for forretningsapplikasjoner Google Apps Script for å stjele kredittkortinformasjon gitt av kunder på e-handelsnettsteder når de foretar kjøp på nett.
Dette ble rapportert av sikkerhetsforsker Eric Brandel, som oppdaget dette mens han analyserte data for tidlig oppdagelse levert av Sansec, et cybersikkerhetsselskap som spesialiserer seg på å bekjempe digital skanning.
Hackere bruker script.google.com-domenet til sine formål og skjuler dermed ondsinnet aktivitet fra sikkerhetsløsninger og omgår Content Security Policy (CSP). Faktum er at nettbutikker vanligvis anser Google Apps Script-domenet som pålitelig og ofte godkjenner alle Googles underdomener.
Brandel sier at han fant et webskimmer-skript introdusert av angripere på nettsidene til nettbutikker. Som alle andre MageCart-skript, fanger det opp brukernes betalingsinformasjon.
Det som gjorde dette skriptet forskjellig fra andre lignende løsninger var at all den stjålne betalingsinformasjonen ble overført som base64-kodet JSON til Google Apps Script, og skriptet [.] Google [.] Com-domenet ble brukt til å trekke ut de stjålne dataene. Først etter det ble informasjonen overført til det angriperkontrollerte domenet analit [.] Tech.
"Det ondsinnede domenet analit [.] Tech ble registrert samme dag som de tidligere oppdagede ondsinnede domenene hotjar [.] Host og pixelm [.] Tech, som er vert på samme nettverk," bemerker forskeren.
Det skal sies at dette ikke er første gang hackere misbruker Google-tjenester generelt og Google Apps Script spesielt. For eksempel, tilbake i 2017 ble det kjent at Carbanak-gruppen bruker Google-tjenester (Google Apps Script, Google Sheets og Google Forms) som grunnlag for sin C&C-infrastruktur. Også i 2020 ble det rapportert at Google Analytics-plattformen også blir misbrukt for angrep av typen MageCart.
Les også: