ผู้โจมตีใช้แพลตฟอร์มการพัฒนาแอปพลิเคชันทางธุรกิจในทางที่ผิด Google Apps Script สำหรับการขโมยข้อมูลบัตรเครดิตที่ลูกค้าของเว็บไซต์อีคอมเมิร์ซให้ไว้เมื่อทำการสั่งซื้อออนไลน์
สิ่งนี้รายงานโดยนักวิจัยด้านความปลอดภัย Eric Brandel ผู้ค้นพบสิ่งนี้ในขณะที่วิเคราะห์ข้อมูลการตรวจจับล่วงหน้าที่จัดทำโดย Sansec บริษัทด้านความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญในการต่อสู้กับการสแกนดิจิทัล
แฮกเกอร์ใช้โดเมน script.google.com ตามวัตถุประสงค์ จึงซ่อนกิจกรรมที่เป็นอันตรายจากโซลูชันด้านความปลอดภัยและหลีกเลี่ยงนโยบายความปลอดภัยของเนื้อหา (CSP) ได้สำเร็จ ความจริงก็คือร้านค้าออนไลน์มักจะถือว่าโดเมน Google Apps Script มีความน่าเชื่อถือ และมักจะอนุญาตพิเศษให้กับโดเมนย่อยของ Google ทั้งหมด
Brandel กล่าวว่าเขาพบสคริปต์เว็บสกิมเมอร์ที่ผู้โจมตีแนะนำบนเว็บไซต์ของร้านค้าออนไลน์ เช่นเดียวกับสคริปต์ MageCart อื่น ๆ สคริปต์นี้ดักข้อมูลการชำระเงินของผู้ใช้
สิ่งที่ทำให้สคริปต์นี้แตกต่างจากโซลูชันอื่นๆ ที่คล้ายคลึงกันคือข้อมูลการชำระเงินที่ถูกขโมยทั้งหมดถูกส่งเป็น JSON ที่เข้ารหัสแบบ base64 ไปยัง Google Apps Script และสคริปต์ [.] โดเมน Google [.] com ถูกใช้เพื่อแยกข้อมูลที่ถูกขโมย หลังจากนั้น ข้อมูลก็ถูกโอนไปยังโดเมนที่ควบคุมโดยผู้โจมตี [.] Tech
"โดเมน analit [.] Tech ที่เป็นอันตรายได้รับการจดทะเบียนในวันเดียวกับโดเมนที่เป็นอันตราย hotjar [.] host และ pixelm [.] Tech ที่ตรวจพบก่อนหน้านี้ ซึ่งโฮสต์อยู่ในเครือข่ายเดียวกัน" นักวิจัยตั้งข้อสังเกต
ต้องบอกว่านี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์ละเมิดบริการของ Google โดยทั่วไปและโดยเฉพาะอย่างยิ่ง Google Apps Script ตัวอย่างเช่น ในปี 2017 เป็นที่รู้กันว่ากลุ่ม Carbanak ใช้บริการของ Google (Google Apps Script, Google Sheets และ Google Forms) เป็นพื้นฐานสำหรับโครงสร้างพื้นฐาน C&C นอกจากนี้ ในปี 2020 มีรายงานว่าแพลตฟอร์ม Google Analytics ยังถูกใช้ในทางที่ผิดสำหรับการโจมตีประเภท MageCart
อ่าน: