Hujumchilar biznes ilovalarini ishlab chiqish platformasini suiiste'mol qiladilar Google Apps skripti onlayn xaridlarni amalga oshirishda elektron tijorat veb-saytlari mijozlari tomonidan taqdim etilgan kredit karta ma'lumotlarini o'g'irlash uchun.
Bu haqda raqamli skanerlash bilan kurashishga ixtisoslashgan Sansec kiberxavfsizlik kompaniyasi tomonidan taqdim etilgan erta aniqlash ma'lumotlarini tahlil qilish chog'ida buni aniqlagan xavfsizlik bo'yicha tadqiqotchi Erik Brandel xabar berdi.
Xakerlar o'z maqsadlari uchun script.google.com domenidan foydalanadilar va shu tariqa o'zlarining zararli harakatlarini xavfsizlik yechimlaridan muvaffaqiyatli yashiradilar va Kontent xavfsizligi siyosatini (CSP) chetlab o'tadilar. Gap shundaki, onlayn-do'konlar odatda Google Apps Script domenini ishonchli deb hisoblashadi va ko'pincha barcha Google subdomenlarini oq ro'yxatga kiritadilar.
Brandelning aytishicha, u onlayn-do'konlar veb-saytlarida tajovuzkorlar tomonidan kiritilgan veb-skimmer skriptini topgan. Boshqa har qanday MageCart skripti singari, u foydalanuvchilarning to'lov ma'lumotlarini ushlab turadi.
Ushbu skriptni boshqa shunga o'xshash echimlardan farq qiladigan narsa shundaki, barcha o'g'irlangan to'lov ma'lumotlari Google Apps Script-ga base64-kodlangan JSON sifatida uzatilgan va skript [.] Google [.] Com domeni o'g'irlangan ma'lumotlarni ajratib olish uchun ishlatilgan. Shundan keyingina ma'lumotlar tajovuzkor tomonidan boshqariladigan analit domeniga uzatildi [.] Tech.
“Zararli domen analit [.] Tech avvalroq aniqlangan hotjar [.] Xost va pixelm [.] Tech bir tarmoqda joylashgan zararli domenlar bilan bir kunda roʻyxatga olingan”, — deya qayd etadi tadqiqotchi.
Aytish kerakki, bu xakerlarning umuman Google xizmatlarini va xususan Google Apps Script-ni suiiste'mol qilishlari birinchi marta emas. Masalan, 2017 yilda Carbanak guruhi o'zining C&C infratuzilmasi uchun asos sifatida Google xizmatlaridan (Google Apps Script, Google Sheets va Google Forms) foydalanishi ma'lum bo'ldi. Shuningdek, 2020 yilda Google Analytics platformasi ham MageCart tipidagi hujumlar uchun suiiste'mol qilinayotgani xabar qilingan edi.
Shuningdek o'qing: