ГлавнаябезопасностьХакеры крадут информацию о кредитной карте с помощью скрипта Google Apps!

Хакеры крадут информацию о кредитной карте с помощью скрипта Google Apps!

Хакеры злоупотребляют скриптом Google Apps (платформа сценариев, разработанная Google для упрощения разработки приложений на платформе Google Workspace) с целью кражи информации кредитной карты, предоставленной клиентами. электронная коммерция сайты во время покупок в Интернете. В частности, злоумышленники используют домен script.google.com чтобы успешно скрыть свою вредоносную активность от сканеров вредоносных программ и обходить политику безопасности контента (CSP).

Хакеры крадут информацию о кредитной карте с помощью скрипта Google Apps!

Согласно BleepingComputer, хакеры пользуются тем фактом, что интернет-магазины считают домен Google Apps Script заслуживающим доверия и, возможно, в списке всех разрешенных субдоменов Google в своей конфигурации CSP своих сайтов (стандарт безопасности, исключающий ненадежный исполняемый код в Интернете). Приложения).
Скиммеры кредитных карт (Magecart скрипты платежных карт или скиммеры) Java-сценарии, представленные киберпреступными группами, известными как группы Magecart, в интернет-магазинах во время атак электронного скимминга.

После разработки скрипты позволяют хакерам собирать деньги и личную информацию, предоставленную покупателями скомпрометированных магазинов, а затем передавать их на серверы под их контролем.

Magecart

Эта новая тактика кражи платежной информации была обнаружена исследователем безопасности Эриком Бранделем при анализе данные раннего обнаружения отсоединения, предоставленного Сансек, компания кибербезопасность сосредоточены на борьбе с цифровым скиммингом.

Брандел обнаружил, что вредоносный скрипт скиммера, внедренный злоумышленниками на сайтах электронной коммерции, влияет на платежную информацию, отправляемую пользователями.

Хакеры крадут информацию о кредитной карте с помощью скрипта Google Apps!

Вся платежная информация, украденная из взломанных интернет-магазинов, была отправлена ​​в виде данных JSON с кодировкой base64 в пользовательское приложение Google Apps Script с помощью сценария. [.] Google [.] Com как конечная точка «удаления». После достижения конечной точки скрипта Google Apps данные были перенаправлены в другой сервер - сайт связанный с Израилем analit [.] tech Которая контролируется хакерами.

Это не первый случай, когда злоумышленники злоупотребляют сервисом Google. В прошлом был подобный инцидент, за которым хакерская команда стояла «FIN7» (также известный как Carbanak или Cobalt), которые злоупотребляли Google Таблицами и Google Forms для управления вредоносными программами. С середины 2015 года FIN7 нацелился на банки и POS-терминалы компаний из ЕС. и из США, используя Carbanak задняя дверь.

По словам Sansec, администраторы сайтов электронной коммерции должны гарантировать, что злоумышленники не смогут ввести несанкционированный код. Мониторинг вредоносных программ и уязвимостей на стороне сервера необходим для любой современной политики безопасности.

Хакеры крадут информацию о кредитной карте с помощью скрипта Google Apps!

Хакеры злоупотребляли другими сервисами Google во время атак Magecart, с Гугл Аналитика были использованы злоумышленниками для кражи платежной информации из десятков интернет-магазинов.

Атаки усугублялись тем, что, злоупотребляя API Google Analytics, злоумышленники также могли обходить CSP, видя, как интернет-магазины добавляют Google Web Analytics в конфигурацию CSP для отслеживания посетителей.

По словам Сансека и ПериметрX, вместо блокирования атак на основе инъекций были разрешены скрипты Google Analytics, которые позволяли хакерам использовать их для кражи и удаления данных. Это было сделано с помощью скрипта веб-скиммера, специально разработанного для шифрования украденных данных и отправки их в панель управления Google Analytics в зашифрованном виде.

Гугл Аналитика

На основании статистики, предоставленной BuiltWith, более 28 миллионов сайтов в настоящее время используют службы веб-аналитики Google.

Кроме того, Сансек отметил, что, когда кампания по скиммингу полностью выполняется на доверенных серверах Google, очень немногие системы безопасности могут определить ее как «подозрительную». Самое главное, популярные контрмеры, такие как CSP, не будут эффективными, если веб-мастер доверяет Google.

Наконец, Виллем де Гроот, генеральный директор и основатель Sansec, сказал BleepingComputer, что CSP был изобретен для ограничения выполнения ненадежного кода. Но поскольку почти все доверяют Google, модель «неисправна».

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ