Հարձակվողները չարաշահում են բիզնես հավելվածների մշակման հարթակը Google Apps- ի սցենար առցանց գնումներ կատարելիս էլեկտրոնային առևտրի կայքերի հաճախորդների կողմից տրամադրված վարկային քարտի տեղեկատվությունը գողանալու համար:
Այս մասին հայտնել է անվտանգության հետազոտող Էրիկ Բրանդելը, ով դա հայտնաբերել է՝ վերլուծելով վաղ հայտնաբերման տվյալները, որը տրամադրվել է Sansec կիբերանվտանգության ընկերության կողմից, որը մասնագիտացած է թվային սկանավորման դեմ պայքարում:
Հաքերներն օգտագործում են script.google.com տիրույթն իրենց նպատակների համար և այդպիսով հաջողությամբ թաքցնում են իրենց վնասակար գործունեությունը անվտանգության լուծումներից և շրջանցում Բովանդակության անվտանգության քաղաքականությունը (CSP): Փաստն այն է, որ առցանց խանութները սովորաբար համարում են Google Apps Script տիրույթը որպես հուսալի և հաճախ Google-ի բոլոր ենթադոմեյնների ցուցակում:
Բրանդելն ասում է, որ առցանց խանութների կայքերում գտել է հարձակվողների կողմից ներկայացված վեբ skimmer-ի սցենարը։ Ինչպես ցանկացած այլ MageCart սկրիպտ, այն ընդհատում է օգտատերերի վճարման տվյալները:
Այս սկրիպտը տարբերվում էր այլ նմանատիպ լուծումներից այն էր, որ գողացված վճարման ամբողջ տեղեկատվությունը փոխանցվում էր որպես base64 կոդավորված JSON Google Apps Script-ին, իսկ սկրիպտը [.] Google [.] Com տիրույթն օգտագործվում էր գողացված տվյալները հանելու համար: Միայն դրանից հետո տեղեկությունը փոխանցվել է հարձակվողի կողմից վերահսկվող analit [.] Tech.
«Վնասակար տիրույթը analit [.] Tech գրանցվել է նույն օրը, ինչ նախկինում հայտնաբերված hotjar [.] Host և pixelm [.] Tech վնասակար տիրույթները, որոնք տեղակայված են նույն ցանցում», - նշում է հետազոտողը:
Պետք է ասել, որ սա առաջին դեպքը չէ, երբ հաքերները չարաշահում են Google-ի ծառայություններն ընդհանրապես և Google Apps Script-ը մասնավորապես։ Օրինակ, դեռ 2017 թվականին հայտնի դարձավ, որ Carbanak խումբն օգտագործում է Google-ի ծառայությունները (Google Apps Script, Google Sheets և Google Forms) որպես իր C&C ենթակառուցվածքի հիմք։ Նաև 2020 թվականին հաղորդվեց, որ Google Analytics հարթակը նույնպես չարաշահվում է MageCart տիպի հարձակումների համար։
Կարդացեք նաև.