20/02/21
Хакеры используют легитимную платформу для создания бизнес-приложений Apps Script от Google с целью похищения данных банковских карт, которые пользователи вводят на сайтах электронной коммерции. С помощью домена script.google.com злоумышленники скрывают вредоносную активность от решений для обнаружения вредоносного ПО и политик безопасности контента (Content Security Policy, CSP).
Киберпреступники пользуются тем фактом, что online-магазины принимают домен Apps Script как доверенный и потенциально добавляют все поддомены Google в белые списки в своих настройках CSP.
Web-скиммеры для похищения данных банковских карт (например, скрипты Magecart) представляют собой JavaScript-коды, которые киберпреступные группировки внедряют во взломанные сайты интернет-магазинов. Эти JavaScript-коды похищают платежные и персональные данные, вводимые пользователями на этих сайтах, и передают на подконтрольные киберпреступникам серверы.
В процессе анализа данных из Early Breach Detection, предоставленных компанией Sansec, исследователь безопасности Эрик Брандел (Eric Brandel) обнаружил интересный случай. Внедренный злоумышленниками на сайтах электронной коммерции вредоносный обфусцированный скрипт скиммера перехватывает вводимую пользователями платежную информацию и отправляет ее в виде зашифрованных с помощью base64 данных JSON кастомному приложению Google Apps Script в домене script.google.com. Далее данные переадресовываются на подконтрольный злоумышленникам сайт analit.tech.
