תוקפים מנצלים לרעה את פלטפורמת פיתוח האפליקציות העסקיות סקריפט של Google Apps בגין גניבת פרטי כרטיס אשראי שסופקו על ידי לקוחות של אתרי מסחר אלקטרוני בעת ביצוע רכישות מקוונות.
כך לפי חוקר האבטחה אריק ברנדל, שגילה זאת תוך כדי ניתוח נתוני גילוי מוקדם שסופקו על ידי Sansec, חברת אבטחת סייבר המתמחה במאבק בסריקה דיגיטלית.
האקרים משתמשים בדומיין script.google.com למטרותיהם ובכך מצליחים להסתיר את פעילותם הזדונית מפתרונות אבטחה ולעקוף את מדיניות אבטחת התוכן (CSP). העובדה היא שחנויות מקוונות בדרך כלל מחשיבות את דומיין Google Apps Script כאמין ולעיתים קרובות רשימות את כל תת-הדומיינים של Google.
ברנדל אומר שהוא מצא סקריפט רחפן אינטרנט שהוצג על ידי תוקפים באתרי האינטרנט של חנויות מקוונות. כמו כל סקריפט אחר של MageCart, הוא מיירט את פרטי התשלום של המשתמשים.
מה ששונה את הסקריפט הזה מפתרונות דומים אחרים היה שכל פרטי התשלום שנגנבו הועברו כ-JSON מקודד base64 ל-Google Apps Script, והסקריפט [.] Google [.] Com היה בשימוש כדי לחלץ את הנתונים הגנובים. רק לאחר מכן, המידע הועבר לדומיין הנשלט על ידי התוקף analit [.] Tech.
"הדומיין הזדוני analit [.] Tech נרשם באותו יום כמו הדומיינים הזדוניים שזוהו בעבר hotjar [.] Host ו-pixelm [.] Tech, שמתארחים באותה רשת", מציין החוקר.
חייבים לומר שזו לא הפעם הראשונה שהאקרים עושים שימוש לרעה בשירותי גוגל בכלל וב-Google Apps Script בפרט. לדוגמה, עוד ב-2017 נודע שקבוצת Carbanak משתמשת בשירותי גוגל (Google Apps Script, Google Sheets ו-Google Forms) כבסיס לתשתית C&C שלה. כמו כן בשנת 2020, דווח כי פלטפורמת גוגל אנליטיקס מנוצלת לרעה גם עבור התקפות מסוג MageCart.
קרא גם: