攻击者滥用业务应用开发平台 Google Apps脚本 用于窃取电子商务网站客户在网上购物时提供的信用卡信息。
这是安全研究员 Eric Brandel 报告的,他在分析 Sansec 提供的早期检测数据时发现了这一点,Sansec 是一家专门打击数字扫描的网络安全公司。
黑客使用 script.google.com 域来达到其目的,从而成功地从安全解决方案中隐藏其恶意活动并绕过内容安全策略 (CSP)。事实上,在线商店通常认为 Google Apps 脚本域是可靠的,并且通常将所有 Google 子域列入白名单。
Brandel 说他在在线商店的网站上发现了攻击者引入的 Web skimmer 脚本。 与任何其他 MageCart 脚本一样,它会拦截用户的付款信息。
这个脚本与其他类似解决方案的不同之处在于,所有被盗的支付信息都以 base64 编码的 JSON 格式传输到 Google Apps 脚本,脚本 [.] Google [.] Com 域用于提取被盗数据。 只有在那之后,信息才被转移到攻击者控制的域 analit [.] Tech。
“恶意域 analit [.] Tech 与先前检测到的恶意域 hotjar [.] Host 和 pixelm [.] Tech 在同一天注册,它们托管在同一网络上,”研究人员指出。
必须要说的是,这并不是黑客第一次普遍滥用 Google 服务,尤其是 Google Apps Script。 例如,早在 2017 年,人们就知道 Carbanak 组织使用谷歌服务(谷歌 Apps 脚本、谷歌表格和谷歌表格)作为其 C&C 基础设施的基础。 同样在 2020 年,据报道,Google Analytics 平台也被滥用于 MageCart 类型的攻击。
另请阅读: