Təcavüzkarlar biznes proqramlarının hazırlanması platformasından sui-istifadə edirlər Google Apps Script onlayn alış-veriş edərkən e-ticarət saytlarının müştəriləri tərəfindən təqdim olunan kredit kartı məlumatlarını oğurlamaq üçün.
Bunu rəqəmsal skanlama ilə mübarizədə ixtisaslaşmış kibertəhlükəsizlik şirkəti Sansec tərəfindən təqdim edilən erkən aşkarlama məlumatlarını təhlil edərkən aşkar edən təhlükəsizlik tədqiqatçısı Erik Brandel bildirib.
Hakerlər öz məqsədləri üçün script.google.com domenindən istifadə edir və bununla da öz zərərli fəaliyyətlərini təhlükəsizlik həllərindən uğurla gizlədir və Məzmun Təhlükəsizliyi Siyasətindən (CSP) yan keçirlər. Fakt budur ki, onlayn mağazalar adətən Google Apps Script domenini etibarlı hesab edir və çox vaxt bütün Google subdomenlərini ağ siyahıya salır.
Brandel deyir ki, o, onlayn mağazaların internet saytlarında təcavüzkarlar tərəfindən təqdim edilmiş veb skimmer skriptini tapıb. Hər hansı digər MageCart skripti kimi, istifadəçilərin ödəniş məlumatlarını ələ keçirir.
Bu skripti digər oxşar həllərdən fərqləndirən cəhət ondan ibarət idi ki, bütün oğurlanmış ödəniş məlumatı base64 kodlu JSON kimi Google Apps Script-ə ötürülürdü və skript [.] Google [.] Com domeni oğurlanmış məlumatları çıxarmaq üçün istifadə edilmişdir. Yalnız bundan sonra məlumat hücumçu tərəfindən idarə olunan analit [.] Tech domeninə ötürülür.
"Zərərli domen analit [.] Tech əvvəllər aşkar edilmiş zərərli domenləri hotjar [.] Host və pixelm [.] Tech, eyni şəbəkədə yerləşdirilən gün qeydə alınıb", - tədqiqatçı qeyd edir.
Qeyd etmək lazımdır ki, bu, hakerlərin ümumilikdə Google xidmətlərindən və xüsusən də Google Apps Script-dən sui-istifadə etdiyi ilk dəfə deyil. Məsələn, hələ 2017-ci ildə məlum oldu ki, Carbanak qrupu C&C infrastrukturunun əsası kimi Google xidmətlərindən (Google Apps Script, Google Sheets və Google Forms) istifadə edir. Həmçinin 2020-ci ildə Google Analytics platformasının MageCart tipli hücumlar üçün də sui-istifadə edildiyi bildirildi.
Həmçinin oxuyun: