مهاجمان از پلتفرم توسعه اپلیکیشن تجاری سوء استفاده می کنند اسکریپت Google Apps برای سرقت اطلاعات کارت اعتباری ارائه شده توسط مشتریان وب سایت های تجارت الکترونیک هنگام خرید آنلاین.
این توسط محقق امنیتی اریک براندل گزارش شده است، که این را هنگام تجزیه و تحلیل داده های تشخیص زودهنگام ارائه شده توسط Sansec، یک شرکت امنیت سایبری که متخصص در مبارزه با اسکن دیجیتال است، کشف کرد.
هکرها از دامنه script.google.com برای اهداف خود استفاده می کنند و بنابراین با موفقیت فعالیت مخرب خود را از راه حل های امنیتی مخفی می کنند و خط مشی امنیت محتوا (CSP) را دور می زنند. واقعیت این است که فروشگاههای آنلاین معمولاً دامنه Google Apps Script را قابل اعتماد میدانند و اغلب زیر دامنههای Google را در لیست سفید قرار میدهند.
برندل می گوید که یک اسکریپت اسکیمر وب را پیدا کرده است که توسط مهاجمان در وب سایت های فروشگاه های آنلاین معرفی شده است. مانند هر اسکریپت دیگر MageCart، اطلاعات پرداخت کاربران را رهگیری می کند.
چیزی که این اسکریپت را از راه حل های مشابه دیگر متمایز می کرد این بود که تمام اطلاعات پرداخت سرقت شده به عنوان JSON با کدگذاری پایه 64 به اسکریپت Google Apps منتقل می شد و دامنه اسکریپت [.] Google [.] Com برای استخراج داده های سرقت شده استفاده می شد. تنها پس از آن، اطلاعات به دامنه کنترل شده توسط مهاجم analit [.] Tech منتقل شد.
محقق خاطرنشان می کند: «دامنه مخرب analit [.] Tech در همان روزی ثبت شد که دامنه های مخرب شناسایی شده قبلی hotjar [.] Host و pixelm [.] Tech که در یک شبکه میزبانی می شوند.
باید گفت این اولین بار نیست که هکرها از سرویس های گوگل به طور کلی و گوگل اپس اسکریپت به طور خاص سوء استفاده می کنند. به عنوان مثال، در سال 2017 مشخص شد که گروه Carbanak از خدمات Google (Google Apps Script، Google Sheets و Google Forms) به عنوان پایه زیرساخت C&C خود استفاده می کند. همچنین در سال 2020 گزارش شد که پلتفرم گوگل آنالیتیکس نیز برای حملات از نوع MageCart مورد سوء استفاده قرار گرفته است.
همچنین بخوانید: