19月18日,星期五,14:XNUMX
保安 黑客利用Google Apps脚本窃取信用卡信息!

黑客利用Google Apps脚本窃取信用卡信息!

黑客滥用Google Apps脚本(由Google开发的脚本平台,用于在Google Workspace平台上轻松开发应用程序),目的是窃取客户提交的信用卡信息 电子商务行业 在线购物期间的网站。 特别是恶意代理使用 script.google.com 成功隐藏扫描程序的恶意活动 恶意软件 并绕过内容安全策略(CSP)。

黑客利用Google Apps脚本窃取信用卡信息!

根据BleepingComputer的说法,黑客利用在线商店会认为Google Apps Script域值得信赖,并可能在其站点的CSP配置中所有允许的Google子域列表中使用这一事实(一种安全标准,用于排除网络中不可靠的执行代码)应用程序)。
信用卡撇渣器(Magecart 付款卡脚本或浏览器) Java的网络小偷攻击期间在网上商店中由网络犯罪组织(称为Magecart组)引入的基于脚本。

一旦开发完成,脚本就可以使黑客收集受感染商店的客户提交的金钱和个人信息,然后将其转移到他们控制下的服务器中。

Magecart

安全研究员Eric Brandel在分析时发现了这种新的支付信息盗窃策略 数据 提供的早期分离检测 Sansec, 一家公司 网络安全 专注于打击数字掠夺。

Brandel发现,电子商务网站入侵者引入的恶意撇取脚本影响了用户提交的付款信息。

黑客利用Google Apps脚本窃取信用卡信息!

使用该脚本,将从受感染的在线商店盗窃的所有付款信息作为base64编码的JSON数据发送到Google Apps Script自定义应用程序 [。] Google [。] Com 作为“删除”的终点。 到达Google Apps脚本的结束点后,数据被转发到另一个 服务器 -与以色列有关的网站 肛门[。]技术 这是由黑客控制的。

这不是恶意代理第一次滥用Google的服务。 过去曾发生过类似事件,其后黑客团队 “ FIN7” (也称为Carbanak或Cobalt),它们滥用Google表格和Google Forms进行恶意软件的命令和控制。 自2015年中以来,FIN7的目标客户是欧盟公司的银行和PoS(销售点)终端。 和的 美国,使用Carbanak 后门.

根据Sansec的说法,电子商务站点管理员必须确保入侵者将无法输入未经授权的代码。 监视服务器端恶意软件和漏洞对于任何现代安全策略都是必不可少的。

黑客利用Google Apps脚本窃取信用卡信息!

黑客在Magecart攻击期间滥用了其他Google服务, 谷歌 被恶意代理用来从数十家在线商店窃取付款信息​​。

使攻击变得更糟的是,通过滥用Google Analytics API,恶意代理还可​​以通过看到网络商店将Google Web Analytics添加到CSP配置中以进行访客跟踪来绕过CSP。

根据Sansec和 PerimeterX,而不是阻止基于注入的攻击,而是允许使用Google Analytics(分析)脚本,从而使黑客能够使用它们来窃取和删除数据。 使用专门用于加密被盗数据并以加密形式将其发送到入侵者Google Analytics(分析)控制面板的Web分离器脚本来完成此操作。

谷歌

根据提供的统计数据 BuiltWith,目前有超过28万个网站使用Google的网络分析服务。

此外,Sansec指出,当掠夺活动完全在受信任的Google服务器上运行时,很少有安全系统会将其识别为“可疑”。 最重要的是,当网站管理员信任Google时,流行的对策(例如CSP)将不会生效。

最后,Sansec的首席执行官兼创始人Willem de Groot告诉BleepingComputer,CSP是为了限制不可靠代码的执行而发明的。 但是因为几乎所有人都信任Google,所以该模型是“有缺陷的”。

离开答案

请输入您发表评论!
请在此输入你的名字

Pohackontas
Pohackontashttps://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻

对游戏公司的六种最著名的攻击是什么?

几天前,游戏公司Big Huge Games告知玩家这是一次攻击的受害者,这影响了其数据...

Xbox礼品卡在亚马逊上的售价为10%

如果Xbox所有者在以下位置购买Xbox礼品卡,则可以在游戏,附加组件,订阅等上节省一些钱:

毅力:NASA航天器降落在火星上!

宇宙飞船“恒心号”昨天在希腊时间晚上11点之前成功降落在火星上。 该任务的目标是...

YouTube:您可以在屏幕分辨率较低的设备上播放4K视频

Android上的YouTube应用程序可让您播放高达4K分辨率的视频。 您需要的只是一部带...的电话

2021年最高的软件工程和编码技能

由于COVID-19,去年的招聘工作和就业机会急剧下降。 但是,事实证明,技术行业更具弹性...
00:10:13

网络钓鱼电子邮件:如何识别它们以及如何保护自己?

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...

美国和英国谴责Facebook阻止澳大利亚

英美两国的政客,新闻代理商和民权组织已将Facebook定位为其决定...

Vaio Z(2021)发布了-它的规格是什么?

Vaio Z(2021)是日本Vaio Corporation的最后一款笔记本电脑。 笔记本电脑带有边框...

濒危雪貂已成功克隆

说到克隆,您首先想到的可能不是名叫伊丽莎白·安的黑脚雪貂-而是...

软件公司所有者犯有欺诈和藏匿儿童色情制品罪

弗吉尼亚州的两家公司(一家是软件公司)的所有者承认犯有非法...