Халдагчид бизнесийн аппликейшн хөгжүүлэх платформыг урвуулан ашигладаг Google Apps скрипт онлайн худалдан авалт хийхдээ цахим худалдааны вэб сайтын үйлчлүүлэгчдийн өгсөн зээлийн картын мэдээллийг хулгайлсан.
Энэ тухай аюулгүй байдлын судлаач Эрик Брандел мэдээлсэн бөгөөд үүнийг дижитал сканнертай тэмцэх чиглэлээр мэргэшсэн кибер аюулгүй байдлын Sansec компанийн өгсөн эрт илрүүлгийн мэдээлэлд дүн шинжилгээ хийх явцад олж мэдсэн байна.
Хакерууд script.google.com домэйнийг зорилгодоо ашигладаг бөгөөд ингэснээр аюулгүй байдлын шийдлүүдээс хортой үйл ажиллагаагаа амжилттай нууж, Агуулгын аюулгүй байдлын бодлогыг (CSP) алгасдаг. Баримт нь онлайн дэлгүүрүүд ихэвчлэн Google Apps Script домэйныг найдвартай гэж үздэг бөгөөд ихэнхдээ Google-ийн бүх дэд домайнуудыг цагаан жагсаалтад оруулдаг.
Брандел хэлэхдээ, тэр онлайн дэлгүүрүүдийн вэбсайтаас халдагчдын оруулсан вэб скимер скриптийг олсон. Бусад MageCart скриптүүдийн нэгэн адил энэ нь хэрэглэгчдийн төлбөрийн мэдээллийг саатуулдаг.
Энэ скрипт нь бусад ижил төстэй шийдлүүдээс юугаараа ялгаатай вэ гэвэл хулгайлагдсан төлбөрийн бүх мэдээллийг base64-ээр кодлогдсон JSON хэлбэрээр Google Apps Script руу дамжуулсан бөгөөд хулгайлагдсан өгөгдлийг задлахад Google [.] Com домэйн скриптийг ашигласан. Үүний дараа л мэдээлэл халдагчийн хяналттай домайн analit [.] Tech.
"Хортой домэйн analit [.] Tech нь өмнө нь илрүүлсэн hotjar [.] Хост ба pixelm [.] Tech нь нэг сүлжээнд байрладаг хортой домайнуудтай нэг өдөр бүртгэгдсэн" гэж судлаач тэмдэглэв.
Энэ нь хакерууд ерөнхийдөө Google-ийн үйлчилгээ, ялангуяа Google Apps Script-г урвуулан ашиглаж байгаа анхны тохиолдол биш гэдгийг хэлэх ёстой. Жишээлбэл, 2017 онд Карбанак групп нь Google-ийн үйлчилгээг (Google Apps Script, Google Sheets болон Google Forms) C&C дэд бүтцийн суурь болгон ашигладаг болох нь тодорхой болсон. Мөн 2020 онд Google Analytics платформ нь MageCart төрлийн халдлагад өртөж байна гэж мэдээлсэн.
Мөн уншина уу: