Шабуылшылар іскери қолданбаларды әзірлеу платформасын теріс пайдаланады Google Apps сценарийі онлайн сатып алу кезінде электрондық коммерция веб-сайттарының тұтынушылары ұсынған несие картасының ақпаратын ұрлағаны үшін.
Бұл туралы сандық сканерлеумен күресуге мамандандырылған Sansec киберқауіпсіздік компаниясы ұсынған ерте анықтау деректерін талдау кезінде анықтаған қауіпсіздік зерттеушісі Эрик Брандель хабарлады.
Хакерлер script.google.com доменін өз мақсаттары үшін пайдаланады және осылайша өздерінің зиянды әрекеттерін қауіпсіздік шешімдерінен сәтті жасырады және Мазмұн қауіпсіздігі саясатын (CSP) айналып өтеді. Интернет-дүкендер әдетте Google Apps Script доменін сенімді деп санайды және жиі барлық Google қосалқы домендерін ақ тізімге енгізеді.
Брандель интернет-дүкендердің веб-сайттарында шабуылдаушылар енгізген веб-скиммер сценарийін тапқанын айтады. Кез келген басқа MageCart сценарийі сияқты, ол пайдаланушылардың төлем ақпаратын ұстайды.
Бұл сценарийдің басқа ұқсас шешімдерден ерекшелігі ұрланған төлем ақпаратының барлығы base64-кодталған JSON ретінде Google Apps Script файлына жіберілді және ұрланған деректерді шығару үшін сценарий [.] Google [.] Com домені пайдаланылды. Осыдан кейін ғана ақпарат шабуылдаушы басқаратын analit доменіне жіберілді [.] Tech.
«Зиянды домен analit [.] Tech бұрын анықталған зиянды домендер hotjar [.] Host және pixelm [.] Tech бір желіде орналастырылған күні тіркелді», - деп атап өтті зерттеуші.
Айта кету керек, бұл хакерлер жалпы Google қызметтерін, атап айтқанда Google Apps Script-ті теріс пайдаланатын бірінші рет емес. Мысалы, 2017 жылы Carbanak тобының C&C инфрақұрылымының негізі ретінде Google қызметтерін (Google Apps Script, Google Sheets және Google Forms) пайдаланатыны белгілі болды. Сондай-ақ 2020 жылы Google Analytics платформасы MageCart типті шабуылдар үшін де теріс пайдаланылып жатқаны хабарланды.
Сондай-ақ оқыңыз: