黑客滥用 Google Apps 脚本窃取信用卡数据

Sansec研究人员报告说，黑客正在滥用Google的Apps Script商业应用开发平台来窃取电子商务网站客户提供的信用卡数据。

“攻击者使用受信任的Google域domain.script.google.com的声誉来逃避恶意软件扫描程序和信任控件（如CSP）。” 阅读安全公司Sansec发布的帖子。

攻击者使用script.google.com 域来避免检测并绕过内容安全策略（CSP）控件，默认情况下，电子商店的CSP配置中将Google域及其子域列入白名单。

安全研究员Eric Brandel使用Sansec的早期突破检测工具发现了这项新技术 。

攻击者通过在页面中注入一小段混淆代码来破坏电子商店：

该恶意软件旨在拦截付款表格，并将数据发送到托管在Google Apps脚本中的自定义应用程序。

https[:]//script[.]google.com/macros/s/AKfycbwRGFNoOpnCE9c8Y7jQYknBhSTPHNfLaEZ-IB_JEzeLLjY-FmM/exec

专家指出，由Google托管的实际代码不是公开的，但是显示到上述脚本的错误消息表明，被盗的付款数据已由Google服务器传送到位于以色列的名为analit [.] tech的站点。

专家注意到，此恶意域名http：// analit [.] tech /与先前发现的与恶意软件攻击有关的域名hotjar [.] host和pixelm [.] tech都注册在同一天，这些域名也托管在同一网络。

“这种新威胁表明，仅保护网络商店免于与不受信任的域进行通信是不够的。电子商务经理需要确保攻击者首先不能注入未经授权的代码。在任何现代安全策略中，服务器端恶意软件和漏洞监视都是必不可少的。” Sansec总结。*

这并不是Magecart黑客在他们的竞选活动中首次滥用Google服务，这是卡巴斯基在6月发现的几次网络掠夺攻击，这些攻击滥用Google Analytics（分析）服务来利用电子分离器窃取数据。

威胁者利用Google Analytics（分析）中的信任来使用Google Analytics（分析）API绕过内容安全策略（CSP）。

攻击者使用Google的网络分析服务将电子商店作为目标，以跟踪访问者，因此Google Analytics（分析）域在其CSP配置中被列入白名单。

卡巴斯基在全球范围内发现了大约二十个受感染站点，包括欧洲和北美和南美的电子商店，销售数字设备，化妆品，食品，备件等。