Imatge: Google
Els atacants estan abusant de la plataforma de desenvolupament d'aplicacions empresarials Apps Script de Google per robar la informació de la targeta de crèdit enviada pels clients de llocs de comerç electrònic mentre compren en línia.
Estan utilitzant el script.google.com domini per ocultar correctament la seva activitat maliciosa dels motors d'escaneig anti-malware i evitar les comprovacions de la política de seguretat de contingut (CSP).
Aprofiten el fet que les botigues en línia considerarien que el domini de Google Apps Script és fiable i possiblement inclourien tots els subdominis de Google als seus llocs a la llista blanca. CSP configuració (un estàndard de seguretat per bloquejar l'execució de codi no fiable a les aplicacions web).
Els skimmers de targetes de crèdit (scripts Magecart o skimmers de targetes de pagament) són scripts basats en JavaScript injectats per grups de ciberdelinqüència coneguts com a grups Magecart que s'injecten en botigues en línia compromeses com a part d'atacs de desnatació web (també coneguts com a e-skimming).
Un cop distribuïts, els scripts els permeten recollir informació personal i de pagament enviada pels clients de la botiga piratejada i recollir-la als servidors sota el seu control.
El domini de Google Apps Script s'utilitza com a punt final d'exfiltració
Aquesta nova tàctica de robatori d'informació de pagament va ser descoberta per un investigador de seguretat Eric Brandel mitjançant l'anàlisi de les dades de detecció precoç d'incompliments proporcionades per Sansec , una empresa de ciberseguretat centrada en la lluita contra el skimming digital.
Segons va descobrir, l'script skimmer maliciós i ofuscat injectat pels atacants als llocs de comerç electrònic va interceptar els formularis de pagament enviats pels usuaris.
Tota la informació de pagament robada de la botiga en línia piratejada està plena de codificació base64 i es filtra a una aplicació personalitzada de Google Apps Script com a dades JSON.
Després d'arribar al punt final de Google Apps Script, les dades s'envien a un altre servidor, el lloc d'anàlisi israelià[.]tech, controlat pels atacants.
'La tecnologia del domini de programari maliciós analític[.] es va registrar el mateix dia que descobert abans dominis de programari maliciós hotjar[.]host i pixelm[.]tech, que també estan allotjats a la mateixa xarxa', Sansec Ella va dir .
Es mostra un error en iniciar la sessió a l'aplicació Google Apps Custom Script dels atacants ( Sansec )
Aquesta no és la primera vegada que s'abusa d'aquest servei de Google el grup cibercriminal FIN7 utilitzar-lo en el passat juntament amb els serveis de Google Sheets i Google Forms per al comandament i control de programari maliciós.
Des de mitjan 2015, FIN7 (també conegut com Carbanak o Cobalt) s'ha dirigit a bancs i terminals de punt de venda (PoS) empresarials a la UE i als EUA. Carbanak porta del darrere.
'Aquesta nova amenaça demostra que simplement protegir les botigues web de la comunicació amb dominis no fiables no és suficient', va afegir Sansec.
'Els gestors de comerç electrònic han d'assegurar-se que els atacants no puguin injectar codi no autoritzat en primer lloc. La supervisió de programari maliciós i vulnerabilitats del servidor és essencial en qualsevol política de seguretat moderna.
Google Analytics també va abusar per robar targetes de crèdit
Altres serveis de Google també van ser abusats en els atacs de Magecart, i els atacants també van utilitzar la plataforma Google Analytics per robar informació de pagament de diverses desenes de botigues en línia.
El que va empitjorar aquests atacs va ser que abusant de l'API de Google Analytics, els actors d'amenaces també van poder evitar el CSP, ja que les botigues web inclouen el servei d'anàlisi web de Google a la seva configuració de CSP per al seguiment dels visitants.
Tal com van descobrir Sansec i PerimeterX en aquell moment, en lloc de bloquejar els atacs basats en injecció, permeten que els scripts de Google Analytics els facin servir per robar i extreure dades.
Això es va fer mitjançant un script de skimmer web dissenyat específicament per codificar les dades robades i enviar-les al tauler de control de Google Analytics de l'atacant en forma xifrada.
Basat en les estadístiques proporcionades per construït amb , més de 28 milions de llocs utilitzen actualment els serveis d'anàlisi web de Google GA, amb 17.000 dels llocs web accessibles mitjançant un rastreig HTTPArchive a partir del març de 2020 mitjançant la llista blanca del domini google-analytics.com segons les estadístiques de PerimeterX.
'Normalment, un skimmer digital (també conegut com a Magecart) funciona en servidors perillosos en paradisos fiscals i la seva ubicació revela la seva nefasta intenció', va explicar Sansec aleshores.
'Però quan una campanya de rastreig s'executa completament en servidors de Google de confiança, molt pocs sistemes de seguretat la marcaran com a 'sospita'. I el més important, les contramesures populars com la Política de seguretat de contingut (CSP) no funcionaran quan un administrador confia en el lloc de Google.
'CSP es va inventar per limitar l'execució de codi no fiable. Però com que pràcticament tothom confia en Google, el model és defectuós', va dir el CEO i fundador de Sansec. Guillem el Gran també va dir a BleepingComputer.
Què penses?
