Angreifer missbrauchen die Entwicklungsplattform für Geschäftsanwendungen Google Apps-Skript zum Stehlen von Kreditkarteninformationen, die von Kunden von E-Commerce-Websites bei Online-Einkäufen bereitgestellt werden.
Dies wurde vom Sicherheitsforscher Eric Brandel gemeldet, der dies bei der Analyse von Früherkennungsdaten entdeckte, die von Sansec bereitgestellt wurden, einem Cybersicherheitsunternehmen, das sich auf die Bekämpfung des digitalen Scannens spezialisiert hat.
Hacker nutzen die Domain script.google.com für ihre Zwecke und verbergen so ihre böswilligen Aktivitäten erfolgreich vor Sicherheitslösungen und umgehen die Content Security Policy (CSP). Tatsache ist, dass Online-Shops die Google Apps Script-Domain normalerweise als zuverlässig betrachten und häufig alle Google-Subdomains auf die Whitelist setzen.
Brandel sagt, er habe ein Web-Skimmer-Skript gefunden, das von Angreifern auf den Websites von Online-Shops eingeführt worden sei. Wie jedes andere MageCart-Skript fängt es die Zahlungsinformationen der Benutzer ab.
Was dieses Skript von anderen ähnlichen Lösungen unterschied, war, dass alle gestohlenen Zahlungsinformationen als Base64-codiertes JSON an Google Apps Script übertragen wurden und das Skript [.] Google [.] Com-Domäne verwendet wurde, um die gestohlenen Daten zu extrahieren. Erst danach wurden die Informationen auf die vom Angreifer kontrollierte Domain analit [.] Tech.
„Die bösartige Domain analit [.] Tech wurde am selben Tag registriert wie die zuvor entdeckten bösartigen Domains hotjar [.] Host und pixelm [.] Tech, die im selben Netzwerk gehostet werden“, stellt der Forscher fest.
Es muss gesagt werden, dass dies nicht das erste Mal ist, dass Hacker Google-Dienste im Allgemeinen und Google Apps Script im Besonderen missbrauchen. So wurde bereits 2017 bekannt, dass die Carbanak-Gruppe Google-Dienste (Google Apps Script, Google Sheets und Google Forms) als Basis für ihre C&C-Infrastruktur nutzt. Ebenfalls im Jahr 2020 wurde berichtet, dass die Google Analytics-Plattform auch für Angriffe vom Typ MageCart missbraucht wird.
Lesen Sie auch: