Angribere misbruger platformen til udvikling af forretningsapplikationer Google Apps Script for at stjæle kreditkortoplysninger leveret af kunder på e-handelswebsteder, når de foretager onlinekøb.
Dette blev rapporteret af sikkerhedsforsker Eric Brandel, som opdagede dette, mens han analyserede tidlige detektionsdata leveret af Sansec, et cybersikkerhedsfirma, der har specialiseret sig i at bekæmpe digital scanning.
Hackere bruger script.google.com-domænet til deres formål og skjuler dermed deres ondsindede aktivitet fra sikkerhedsløsninger og omgår indholdssikkerhedspolitikken (CSP). Faktum er, at onlinebutikker normalt betragter Google Apps Script-domænet som pålideligt og hvidlister ofte alle Google-underdomæner.
Brandel siger, at han fandt et web-skimmer-script, der blev introduceret af angribere på websteder for onlinebutikker. Som ethvert andet MageCart-script opsnapper det brugernes betalingsoplysninger.
Det, der gjorde dette script anderledes end andre lignende løsninger, var, at alle de stjålne betalingsoplysninger blev overført som base64-kodet JSON til Google Apps Script, og scriptet [.] Google [.] Com-domænet blev brugt til at udtrække de stjålne data. Først derefter blev oplysningerne overført til det angriberkontrollerede domæne analit [.] Tech.
"Det ondsindede domæne analit [.] Tech blev registreret samme dag som de tidligere opdagede ondsindede domæner hotjar [.] Host og pixelm [.] Tech, som er hostet på det samme netværk," bemærker forskeren.
Det skal siges, at det ikke er første gang, at hackere misbruger Google-tjenester generelt og Google Apps Script i særdeleshed. For eksempel blev det tilbage i 2017 kendt, at Carbanak-gruppen bruger Google-tjenester (Google Apps Script, Google Sheets og Google Forms) som grundlag for sin C&C-infrastruktur. Også i 2020 blev det rapporteret, at Google Analytics-platformen også bliver misbrugt til angreb af MageCart-typen.
Læs også: