Árásarmenn misnota þróunarvettvang viðskiptaforrita Google Apps handrit fyrir að stela kreditkortaupplýsingum sem viðskiptavinir rafrænna viðskiptavefsíða veita við kaup á netinu.
Þetta segir öryggisrannsóknarmaðurinn Eric Brandel, sem uppgötvaði það þegar hann greindi snemmgreiningargögn frá Sansec, netöryggisfyrirtæki sem sérhæfir sig í að berjast gegn stafrænni skönnun.
Tölvuþrjótar nota script.google.com lénið í sínum tilgangi og fela þannig skaðsemi sína fyrir öryggislausnum og komast framhjá Content Security Policy (CSP). Staðreyndin er sú að netverslanir líta venjulega á Google Apps Script lénið sem áreiðanlegt og oft á hvítlista öll Google undirlén.
Brandel segist hafa fundið vefskímarahandrit sem árásarmenn kynntu á vefsíðum netverslana. Eins og hvert annað MageCart forskrift, stöðva það greiðsluupplýsingar notenda.
Það sem gerði þetta handrit frábrugðið öðrum sambærilegum lausnum var að allar stolnar greiðsluupplýsingar voru sendar sem base64-kóðaða JSON til Google Apps Script, og handritið [.] Google [.] Com lénið var notað til að draga úr stolnu gögnunum. Aðeins eftir það voru upplýsingarnar fluttar yfir á lénið sem var stjórnað af árásarmanninum Analit [.] Tech.
„Illgjarn lén analit [.] Tech var skráð sama dag og áður uppgötvað illgjarn lén hotjar [.] Host og pixelm [.] Tech, sem eru hýst á sama neti,“ segir rannsakandi.
Það verður að segjast að þetta er ekki í fyrsta skipti sem tölvuþrjótar misnota þjónustu Google almennt og Google Apps Script sérstaklega. Til dæmis, aftur árið 2017 varð það vitað að Carbanak hópurinn notar þjónustu Google (Google Apps Script, Google Sheets og Google Forms) sem grunn fyrir C&C innviði. Einnig árið 2020 var greint frá því að Google Analytics vettvangurinn sé einnig misnotaður fyrir árásir af gerðinni MageCart.
Lestu líka: