攻击者滥用Google的Apps Script商业应用开发平台来窃取电子商店中的支付卡信息。
Sansec研究人员报告说,威胁行动者正在滥用Google的Apps Script商业应用开发平台来窃取电子商务网站客户提供的信用卡数据。
“攻击者使用受信任的Google域domain.script.google.com的声誉来逃避恶意软件扫描程序和信任控件(如CSP)。” 阅读安全公司Sansec发布的帖子。
攻击者使用script.google.com 域来避免检测并绕过内容安全策略(CSP)控件,默认情况下,电子商店的CSP配置中将Google域及其子域列入白名单。
安全研究员埃里克· 布兰德尔(Eric Brandel)使用Sansec的早期突破检测工具发现了这项新技术 。
感谢@sansecio的一些数据,我遇到了另一个示例,该示例是数字撇渣器/ #magecart脚本滥用Google服务进行数据泄露。在这种情况下,滥用的服务是Google Apps脚本
1/7 pic.twitter.com/xRzt29pD9L-埃里克·布兰德尔(@AffableKraut)
攻击者通过在页面中注入一小段混淆代码来破坏电子商店:
该恶意软件旨在拦截付款表格,并将数据发送到托管在Google Apps脚本中的自定义应用程序。
https [:] // script [。] google.com/macros/s/AKfycbwRGFNoOpnCE9c8Y7jQYknBhSTPHNfLaEZ-IB_JEzeLLjY-FmM/exec
专家指出,由Google托管的实际代码不是公开的,但是显示到上述脚本的错误消息表明,被盗的付款数据已由Google服务器传送到位于以色列的名为analit [。] tech的站点。
专家注意到,此恶意域名http:// analit [。] tech /与先前发现的 与恶意软件攻击有关的域名hotjar [。] host和pixelm [。] tech都注册在同一天,这些 域名也托管在同一网络。
“这种新威胁表明,仅保护网络商店免于与不受信任的域进行通信是不够的。电子商务经理需要确保攻击者首先不能注入未经授权的代码。在任何现代安全策略中,服务器端恶意软件和漏洞监视都是必不可少的。” Sansec总结。
这并不是Magecart黑客在他们的竞选活动中首次滥用Google服务,这是卡巴斯基在6月发现的几次网络掠夺攻击,这些攻击滥用Google Analytics(分析)服务来利用电子分离器窃取数据。
威胁参与者利用Google Analytics(分析)中的信任来使用Google Analytics(分析)API绕过内容安全策略(CSP)。
攻击者使用Google的网络分析服务将电子商店作为目标,以跟踪访问者,因此Google Analytics(分析)域在其CSP配置中被列入白名单。
卡巴斯基在全球范围内发现了大约二十个受感染站点,包括欧洲和北美和南美的电子商店,销售数字设备,化妆品,食品,备件等。
*编译:Domino
*来自:securityaffairs