Angripare missbrukar utvecklingsplattformen för affärsapplikationer Google Apps Script för att stjäla kreditkortsinformation som tillhandahålls av kunder på e-handelswebbplatser när de gör onlineköp.
Detta rapporterades av säkerhetsforskaren Eric Brandel, som upptäckte detta när han analyserade tidig upptäcktsdata från Sansec, ett cybersäkerhetsföretag som specialiserat sig på att bekämpa digital skanning.
Hackare använder domänen script.google.com för sina syften och döljer på så sätt sin skadliga aktivitet från säkerhetslösningar och kringgår innehållssäkerhetspolicyn (CSP). Faktum är att onlinebutiker vanligtvis betraktar Google Apps Script-domänen som pålitlig och vitlistar ofta alla Googles underdomäner.
Brandel säger att han hittade ett webbskimmerskript som introducerats av angripare på webbbutikernas webbplatser. Som alla andra MageCart-skript fångar det upp användarnas betalningsinformation.
Det som skilde det här skriptet från andra liknande lösningar var att all den stulna betalningsinformationen överfördes som base64-kodad JSON till Google Apps Script, och skriptet [.] Google [.] Com-domänen användes för att extrahera de stulna data. Först efter det överfördes informationen till den angriparkontrollerade domänen analit [.] Tech.
"Den skadliga domänen analit [.] Tech registrerades samma dag som de tidigare upptäckta skadliga domänerna hotjar [.] Host och pixelm [.] Tech, som finns på samma nätverk", konstaterar forskaren.
Det måste sägas att det inte är första gången som hackare missbrukar Googles tjänster i allmänhet och Google Apps Script i synnerhet. Till exempel, redan 2017 blev det känt att Carbanak-gruppen använder Googles tjänster (Google Apps Script, Google Sheets och Google Forms) som grund för sin C&C-infrastruktur. Även 2020 rapporterades det att Google Analytics-plattformen också missbrukas för attacker av MageCart-typ.
Läs också: