攻撃者はビジネス アプリケーション開発プラットフォームを悪用します Google Appsスクリプト 電子商取引サイトの顧客がオンラインで購入する際に提供するクレジット カード情報を盗むため。
これは、セキュリティ研究者の Eric Brandel によって報告されました。彼は、デジタル スキャンとの闘いを専門とするサイバーセキュリティ企業である Sansec が提供する早期検出データを分析しているときに、これを発見しました。
ハッカーは script.google.com ドメインを目的のために使用するため、悪意のあるアクティビティをセキュリティ ソリューションから隠し、コンテンツ セキュリティ ポリシー (CSP) を回避することに成功します。実際、オンライン ストアは通常、Google Apps Script ドメインを信頼できるものとみなし、すべての Google サブドメインをホワイトリストに登録することがよくあります。
Brandel 氏は、攻撃者がオンライン ストアの Web サイトに導入した Web スキマー スクリプトを発見したと述べています。 他の MageCart スクリプトと同様に、ユーザーの支払い情報を傍受します。
このスクリプトが他の同様のソリューションと異なる点は、盗まれたすべての支払い情報が base64 でエンコードされた JSON として Google Apps Script に送信され、スクリプト [.] Google [.] Com ドメインが盗まれたデータの抽出に使用されたことです。 その後、情報は攻撃者が制御するドメイン analit [.] Tech に転送されました。
「悪意のあるドメイン analit [.] Tech は、以前に検出された悪意のあるドメイン hotjar [.] Host および pixelm [.] Tech と同じ日に登録されました。これらは同じネットワーク上でホストされています」と研究者は指摘しています。
ハッカーが Google サービス全般、特に Google Apps Script を悪用するのはこれが初めてではありません。 たとえば、2017 年に、Carbanak グループが C&C インフラストラクチャの基盤として Google サービス (Google Apps Script、Google Sheets、Google Forms) を使用していることが知られるようになりました。 また 2020 年には、MageCart 型の攻撃に Google Analytics プラットフォームも悪用されていることが報告されました。
また読む: