Kẻ tấn công lạm dụng nền tảng phát triển ứng dụng kinh doanh Tập lệnh Google Apps tội đánh cắp thông tin thẻ tín dụng do khách hàng của website thương mại điện tử cung cấp khi mua hàng trực tuyến.
Điều này đã được báo cáo bởi nhà nghiên cứu bảo mật Eric Brandel, người đã phát hiện ra điều này trong khi phân tích dữ liệu phát hiện sớm do Sansec, một công ty an ninh mạng chuyên chống quét kỹ thuật số cung cấp.
Tin tặc sử dụng miền script.google.com cho mục đích của chúng và do đó che giấu thành công hoạt động độc hại của chúng khỏi các giải pháp bảo mật và bỏ qua Chính sách bảo mật nội dung (CSP). Thực tế là các cửa hàng trực tuyến thường coi miền Google Apps Script là đáng tin cậy và thường đưa vào danh sách trắng tất cả các miền phụ của Google.
Brandel nói rằng anh ấy đã tìm thấy một tập lệnh web skimmer do những kẻ tấn công giới thiệu trên trang web của các cửa hàng trực tuyến. Giống như bất kỳ tập lệnh MageCart nào khác, nó chặn thông tin thanh toán của người dùng.
Điều làm cho tập lệnh này khác với các giải pháp tương tự khác là tất cả thông tin thanh toán bị đánh cắp được truyền dưới dạng JSON được mã hóa base64 tới Google Apps Script và tập lệnh [.] miền Google [.] Com được sử dụng để trích xuất dữ liệu bị đánh cắp. Chỉ sau đó, thông tin đã được chuyển đến miền analit [.] Tech do kẻ tấn công kiểm soát.
Nhà nghiên cứu lưu ý: “Miền độc hại analit [.] Tech đã được đăng ký cùng ngày với các miền độc hại được phát hiện trước đó hotjar [.] Host và pixelm [.] Tech, được lưu trữ trên cùng một mạng”.
Phải nói rằng đây không phải là lần đầu tiên hacker lạm dụng các dịch vụ của Google nói chung và Google Apps Script nói riêng. Ví dụ: vào năm 2017, người ta biết rằng nhóm Carbanak sử dụng các dịch vụ của Google (Google Apps Script, Google Sheets và Google Forms) làm cơ sở cho cơ sở hạ tầng C&C của mình. Cũng trong năm 2020, có báo cáo rằng nền tảng Google Analytics cũng đang bị lạm dụng cho các cuộc tấn công kiểu MageCart.
Đọc thêm: