Эксперты обнаружили, что мошенники злоупотребляют платформой Google Apps Script для кражи информации о банковских картах.
Так, злоумышленники пользуются информацией, которую пользователи предоставляют e-commerce сайтам при совершении покупок в интернете.
Отмечается, что хакеры используют домен script.google.com для своих целей, успешно скрывая свою вредоносную активность от защитных решений и обходят Content Security Policy (CSP).
По данным ИБ-эксперта Эрика Брандель, дело в том, что интернет-магазины как правило рассматривают домен Google Apps Script как надежный, таким образом часто заносят в белый список вообще все поддомены Google. Эксперт отмечает, что нашел обфусцированный скрипт веб-скиммера, который был внедрен злоумышленниками на сайты интернет-магазинов, пишет xakep.ru.
Таким образом, как и любой другой MageCart-скрипт, он перехватывает платежную информацию пользователей.
Скрипт отличается от других подобных решений тем, что вся ворованная платежная информация передавалась в виде JSON в кодировке base64 в Google Apps Script. В свою очередь, домен script[.]google[.]com использовался для извлечения краденных данных.
Собственно, после этого информация о платежных картах передавалась на подконтрольный атакующим домен analit[.]tech.
Эрик Брандель сообщает, что вредоносный домен analit[.]tech был зарегистрирован в тот же день, что и ранее обнаруженные вредоносные домены hotjar[.]host и pixelm[.]tech, размещенные в той же сети.
Стоит отметить, что хакеры уже далеко не первый раз злоупотребляют сервисами Google, в том числе Google Apps Script. Например, в 2017 году хакерская группировка Carbanak использовала сервисы Google в качестве основы для своей C&C-инфраструктуры. Тогда были использованы такие сервисы, как Google Apps Script, Google Sheets и Google Forms. А в 2020 году для атак типа MageCart злоумышленники использовали платформу Google Analytics.
Напомним, ранее мы писали о том, что за 5 лет биометрические платежные карты могут составить 15% рынка.
На нашем сайте используются файлы cookie для сбора информации в маркетинговых целях. Подробно о сборе информации вы можете ознакомиться в «Политике конфиденциальности».