Хакеры используют Google Apps Script в атаках web-скиммеров

Материал из Викиновостей, свободного источника новостей

19 февраля 2021 года

Хакеры используют легитимную платформу для создания бизнес-приложений Apps Script от Google с целью похищения данных банковских карт, которые пользователи вводят на сайтах электронной коммерции. С помощью домена script.google.com злоумышленники скрывают вредоносную активность от решений для обнаружения вредоносного ПО и политик безопасности контента (Content Security Policy, CSP).

Киберпреступники пользуются тем фактом, что online-магазины принимают домен Apps Script как доверенный и потенциально добавляют все поддомены Google в белые списки в своих настройках CSP.

Web-скиммеры для похищения данных банковских карт (например, скрипты Magecart) представляют собой JavaScript-коды, которые киберпреступные группировки внедряют во взломанные сайты интернет-магазинов. Эти JavaScript-коды похищают платежные и персональные данные, вводимые пользователями на этих сайтах, и передают на подконтрольные киберпреступникам серверы.

В процессе анализа данных из Early Breach Detection, предоставленных компанией Sansec, исследователь безопасности Эрик Брандел (Eric Brandel) обнаружил интересный случай. Внедренный злоумышленниками на сайтах электронной коммерции вредоносный обфусцированный скрипт скиммера перехватывает вводимую пользователями платежную информацию и отправляет ее в виде зашифрованных с помощью base64 данных JSON кастомному приложению Google Apps Script в домене script.google.com. Далее данные переадресовываются на подконтрольный злоумышленникам сайт analit.tech.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.