首页保安黑客利用Google Apps脚本窃取信用卡信息!

黑客利用Google Apps脚本窃取信用卡信息!

黑客滥用Google Apps脚本(由Google开发的脚本平台,用于在Google Workspace平台上轻松开发应用程序),目的是窃取客户提交的信用卡信息 电子商务行业 在线购物期间的网站。 特别是恶意代理使用 script.google.com 成功隐藏扫描程序的恶意活动 恶意软件 并绕过内容安全策略(CSP)。

黑客利用Google Apps脚本窃取信用卡信息!

根据BleepingComputer的说法,黑客利用在线商店会认为Google Apps Script域值得信赖,并可能在其站点的CSP配置中所有允许的Google子域列表中使用这一事实(一种安全标准,用于排除网络中不可靠的执行代码)应用程序)。
信用卡撇渣器(Magecart 付款卡脚本或浏览器) Java的网络小偷攻击期间在网上商店中由网络犯罪组织(称为Magecart组)引入的基于脚本。

一旦开发完成,脚本就可以使黑客收集受感染商店的客户提交的金钱和个人信息,然后将其转移到他们控制下的服务器中。

Magecart

安全研究员Eric Brandel在分析时发现了这种新的支付信息盗窃策略 数据 提供的早期分离检测 桑赛克, 一家公司 网络安全 专注于打击数字掠夺。

Brandel发现,电子商务网站入侵者引入的恶意撇取脚本影响了用户提交的付款信息。

黑客利用Google Apps脚本窃取信用卡信息!

使用该脚本,将从受感染的在线商店盗窃的所有付款信息作为base64编码的JSON数据发送到Google Apps Script自定义应用程序 [。] Google [。] Com 作为“删除”的终点。 到达Google Apps脚本的结束点后,数据被转发到另一个 服务器 -与以色列有关的网站 肛门[。]技术 这是由黑客控制的。

这不是恶意代理第一次滥用Google的服务。 过去曾发生过类似事件,其后黑客团队 “ FIN7” (也称为Carbanak或Cobalt),它们滥用Google表格和Google Forms进行恶意软件的命令和控制。 自2015年中以来,FIN7的目标客户是欧盟公司的银行和PoS(销售点)终端。 和的 美国,使用Carbanak 后门.

根据Sansec的说法,电子商务站点管理员必须确保入侵者将无法输入未经授权的代码。 监视服务器端恶意软件和漏洞对于任何现代安全策略都是必不可少的。

黑客利用Google Apps脚本窃取信用卡信息!

黑客在Magecart攻击期间滥用了其他Google服务, Google Analytics 被恶意代理用来从数十家在线商店窃取付款信息​​。

使攻击变得更糟的是,通过滥用Google Analytics API,恶意代理还可​​以通过看到网络商店将Google Web Analytics添加到CSP配置中以进行访客跟踪来绕过CSP。

根据Sansec和 PerimeterX,而不是阻止基于注入的攻击,而是允许使用Google Analytics(分析)脚本,从而使黑客能够使用它们来窃取和删除数据。 使用专门用于加密被盗数据并以加密形式将其发送到入侵者Google Analytics(分析)控制面板的Web分离器脚本来完成此操作。

Google Analytics

根据提供的统计数据 BuiltWith,目前有超过28万个网站使用Google的网络分析服务。

此外,Sansec指出,当掠夺活动完全在受信任的Google服务器上运行时,很少有安全系统会将其识别为“可疑”。 最重要的是,当网站管理员信任Google时,流行的对策(例如CSP)将不会生效。

最后,Sansec的首席执行官兼创始人Willem de Groot告诉BleepingComputer,CSP是为了限制不可靠代码的执行而发明的。 但是因为几乎所有人都信任Google,所以该模型是“有缺陷的”。

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻