Gli aggressori abusano della piattaforma di sviluppo di applicazioni aziendali Script di Google Apps per rubare i dati della carta di credito forniti dai clienti dei siti di e-commerce durante gli acquisti online.
Lo ha riferito il ricercatore di sicurezza Eric Brandel, che lo ha scoperto analizzando i dati di rilevamento precoce forniti da Sansec, una società di sicurezza informatica specializzata nella lotta alla scansione digitale.
Gli hacker utilizzano il dominio script.google.com per i loro scopi e quindi nascondono con successo le loro attività dannose alle soluzioni di sicurezza e aggirano la Content Security Policy (CSP). Il fatto è che i negozi online di solito considerano affidabile il dominio Google Apps Script e spesso autorizzano tutti i sottodomini di Google.
Brandel afferma di aver trovato uno script web skimmer introdotto dagli aggressori sui siti Web dei negozi online. Come qualsiasi altro script MageCart, intercetta le informazioni di pagamento degli utenti.
Ciò che ha reso questo script diverso da altre soluzioni simili è stato che tutte le informazioni di pagamento rubate sono state trasmesse come JSON con codifica base64 a Google Apps Script e lo script [.] Google [.] Com domain è stato utilizzato per estrarre i dati rubati. Solo successivamente, le informazioni sono state trasferite al dominio controllato dall'attaccante analit [.] Tech.
"Il dominio dannoso analit [.] Tech è stato registrato lo stesso giorno dei domini dannosi precedentemente rilevati hotjar [.] Host e pixelm [.] Tech, che sono ospitati sulla stessa rete", osserva il ricercatore.
Va detto che non è la prima volta che gli hacker abusano dei servizi Google in generale e di Google Apps Script in particolare. Ad esempio, nel 2017 si è saputo che il gruppo Carbanak utilizza i servizi Google (Google Apps Script, Google Sheets e Google Forms) come base per la sua infrastruttura C&C. Sempre nel 2020, è stato riferito che anche la piattaforma Google Analytics è oggetto di abusi per attacchi di tipo MageCart.
Leggi anche: