黑客濫用 Google Apps 腳本竊取信用卡數據

Sansec研究人員報告說，黑客正在濫用Google的Apps Script商業應用開發平臺來竊取電子商務網站客戶提供的信用卡數據。

“攻擊者使用受信任的Google域domain.script.google.com的聲譽來逃避惡意軟件掃描程序和信任控件（如CSP）。” 閱讀安全公司Sansec發布的帖子。

攻擊者使用script.google.com 域來避免檢測并繞過內容安全策略（CSP）控件，默認情況下，電子商店的CSP配置中將Google域及其子域列入白名單。

安全研究員Eric Brandel使用Sansec的早期突破檢測工具發現了這項新技術 。

攻擊者通過在頁面中注入一小段混淆代碼來破壞電子商店：

該惡意軟件旨在攔截付款表格，并將數據發送到托管在Google Apps腳本中的自定義應用程序。

https[:]//script[.]google.com/macros/s/AKfycbwRGFNoOpnCE9c8Y7jQYknBhSTPHNfLaEZ-IB_JEzeLLjY-FmM/exec

專家指出，由Google托管的實際代碼不是公開的，但是顯示到上述腳本的錯誤消息表明，被盜的付款數據已由Google服務器傳送到位于以色列的名為analit [.] tech的站點。

專家注意到，此惡意域名http：// analit [.] tech /與先前發現的與惡意軟件攻擊有關的域名hotjar [.] host和pixelm [.] tech都注冊在同一天，這些域名也托管在同一網絡。

“這種新威脅表明，僅保護網絡商店免于與不受信任的域進行通信是不夠的。電子商務經理需要確保攻擊者首先不能注入未經授權的代碼。在任何現代安全策略中，服務器端惡意軟件和漏洞監視都是必不可少的。” Sansec總結。*

這并不是Magecart黑客在他們的競選活動中首次濫用Google服務，這是卡巴斯基在6月發現的幾次網絡掠奪攻擊，這些攻擊濫用Google Analytics（分析）服務來利用電子分離器竊取數據。

威脅者利用Google Analytics（分析）中的信任來使用Google Analytics（分析）API繞過內容安全策略（CSP）。

攻擊者使用Google的網絡分析服務將電子商店作為目標，以跟蹤訪問者，因此Google Analytics（分析）域在其CSP配置中被列入白名單。

卡巴斯基在全球范圍內發現了大約二十個受感染站點，包括歐洲和北美和南美的電子商店，銷售數字設備，化妝品，食品，備件等。