黑客滥用 Google Apps 脚本窃取信用卡数据

Andrew 2021-02-20
专栏 - 资讯 发布于 2021-02-20 10:07:42 阅读 145 评论 0

Sansec研究人员报告说,黑客正在滥用Google的Apps Script商业应用开发平台来窃取电子商务网站客户提供的信用卡数据。

“攻击者使用受信任的Google域domain.script.google.com的声誉来逃避恶意软件扫描程序和信任控件(如CSP)。” 阅读安全公司Sansec发布的帖子。

攻击者使用script.google.com 域来避免检测并绕过内容安全策略(CSP)控件,默认情况下,电子商店的CSP配置中将Google域及其子域列入白名单。

安全研究员Eric Brandel使用Sansec的早期突破检测工具发现了这项新技术 。

黑客窃取信用卡数据,滥用Google的Apps脚本

攻击者通过在页面中注入一小段混淆代码来破坏电子商店:

黑客窃取信用卡数据,滥用Google的Apps脚本

该恶意软件旨在拦截付款表格,并将数据发送到托管在Google Apps脚本中的自定义应用程序。

https[:]//script[.]google.com/macros/s/AKfycbwRGFNoOpnCE9c8Y7jQYknBhSTPHNfLaEZ-IB_JEzeLLjY-FmM/exec

专家指出,由Google托管的实际代码不是公开的,但是显示到上述脚本的错误消息表明,被盗的付款数据已由Google服务器传送到位于以色列的名为analit [.] tech的站点。

黑客窃取信用卡数据,滥用Google的Apps脚本

专家注意到,此恶意域名http:// analit [.] tech /与先前发现的与恶意软件攻击有关的域名hotjar [.] host和pixelm [.] tech都注册在同一天,这些域名也托管在同一网络。

“这种新威胁表明,仅保护网络商店免于与不受信任的域进行通信是不够的。电子商务经理需要确保攻击者首先不能注入未经授权的代码。在任何现代安全策略中,服务器端恶意软件和漏洞监视都是必不可少的。” Sansec总结。*

这并不是Magecart黑客在他们的竞选活动中首次滥用Google服务,这是卡巴斯基在6月发现的几次网络掠夺攻击,这些攻击滥用Google Analytics(分析)服务来利用电子分离器窃取数据。

威胁者利用Google Analytics(分析)中的信任来使用Google Analytics(分析)API绕过内容安全策略(CSP)。

攻击者使用Google的网络分析服务将电子商店作为目标,以跟踪访问者,因此Google Analytics(分析)域在其CSP配置中被列入白名单。

卡巴斯基在全球范围内发现了大约二十个受感染站点,包括欧洲和北美和南美的电子商店,销售数字设备,化妆品,食品,备件等。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!