Saldırganlar, iş uygulaması geliştirme platformunu kötüye kullanır Google Apps Komut Dosyası e-ticaret web sitelerinin müşterilerinin çevrimiçi alışveriş yaparken sağladığı kredi kartı bilgilerini çalmak için.
Bu, dijital taramayla mücadelede uzmanlaşmış bir siber güvenlik şirketi olan Sansec tarafından sağlanan erken tespit verilerini analiz ederken bunu keşfeden güvenlik araştırmacısı Eric Brandel tarafından bildirildi.
Bilgisayar korsanları, script.google.com alan adını kendi amaçları için kullanır ve böylece kötü niyetli etkinliklerini güvenlik çözümlerinden başarıyla gizler ve İçerik Güvenliği Politikasını (CSP) atlar. Gerçek şu ki, çevrimiçi mağazalar genellikle Google Apps Komut Dosyası alan adını güvenilir olarak kabul eder ve çoğu zaman tüm Google alt alan adlarını beyaz listeye alır.
Brandel, çevrimiçi mağazaların web sitelerinde saldırganlar tarafından tanıtılan bir web skimmer komut dosyası bulduğunu söylüyor. Diğer herhangi bir MageCart betiği gibi, kullanıcıların ödeme bilgilerini yakalar.
Bu scripti diğer benzer çözümlerden farklı kılan ise çalınan tüm ödeme bilgilerinin base64 kodlu JSON olarak Google Apps Script'e iletilmesi ve çalınan verilerin ayıklanması için [.] Google [.] Com domain scriptinin kullanılmasıydı. Ancak bundan sonra bilgiler, saldırgan tarafından kontrol edilen alan analiti [.] Tech'e aktarıldı.
Araştırmacı, "Kötü amaçlı alan analit [.] Tech, daha önce tespit edilen ve aynı ağda barındırılan hotjar [.] Host ve pixelm [.] Tech adlı kötü amaçlı alan adlarıyla aynı gün kaydedildi" diyor.
Bilgisayar korsanlarının genel olarak Google hizmetlerini ve özel olarak da Google Apps Script'i ilk kez kötüye kullanmadıkları söylenmelidir. Örneğin, 2017'de Carbanak grubunun C&C altyapısı için Google hizmetlerini (Google Apps Script, Google Sheets ve Google Forms) kullandığı öğrenildi. Ayrıca 2020 yılında Google Analytics platformunun MageCart türü saldırılar için de kötüye kullanıldığı bildirildi.
Ayrıca okuyun: