Inaabuso ng mga attacker ang business application development platform Google Apps Script para sa pagnanakaw ng impormasyon ng credit card na ibinigay ng mga customer ng mga website ng e-commerce kapag gumagawa ng mga online na pagbili.
Iniulat ito ng security researcher na si Eric Brandel, na natuklasan ito habang sinusuri ang data ng maagang pagtuklas na ibinigay ng Sansec, isang kumpanya ng cybersecurity na dalubhasa sa paglaban sa digital scanning.
Ginagamit ng mga hacker ang script.google.com na domain para sa kanilang mga layunin at sa gayon ay matagumpay na naitago ang kanilang nakakahamak na aktibidad mula sa mga solusyon sa seguridad at na-bypass ang Content Security Policy (CSP). Ang katotohanan ay karaniwang isinasaalang-alang ng mga online na tindahan ang domain ng Google Apps Script bilang maaasahan at madalas na i-whitelist ang lahat ng mga subdomain ng Google.
Sinabi ni Brandel na nakakita siya ng script ng web skimmer na ipinakilala ng mga umaatake sa mga website ng mga online na tindahan. Tulad ng iba pang script ng MageCart, hinaharang nito ang impormasyon sa pagbabayad ng mga user.
Ang nagpaiba sa script na ito sa iba pang katulad na mga solusyon ay ang lahat ng ninakaw na impormasyon sa pagbabayad ay ipinadala bilang base64-encoded JSON sa Google Apps Script, at ang script [.] Google [.] Com domain ay ginamit upang kunin ang ninakaw na data. Pagkatapos lamang nito, inilipat ang impormasyon sa domain na kontrolado ng attacker na analit [.] Tech.
"Ang nakakahamak na domain analit [.] Tech ay nakarehistro sa parehong araw bilang ang dating natukoy na mga nakakahamak na domain hotjar [.] Host at pixelm [.] Tech, na naka-host sa parehong network," ang tala ng mananaliksik.
Dapat sabihin na hindi ito ang unang pagkakataon na inaabuso ng mga hacker ang mga serbisyo ng Google sa pangkalahatan at partikular ang Google Apps Script. Halimbawa, noong 2017 ay nalaman na ang pangkat ng Carbanak ay gumagamit ng mga serbisyo ng Google (Google Apps Script, Google Sheets at Google Forms) bilang batayan para sa imprastraktura ng C&C nito. Noong 2020 din, iniulat na ang platform ng Google Analytics ay inaabuso din para sa mga pag-atake na uri ng MageCart.
Basahin din: