Чабуулчулар бизнес тиркемелерин иштеп чыгуу платформасын кыянаттык менен колдонушат Google App Script онлайн сатып алууларды жасоодо электрондук коммерциялык веб-сайттардын кардарлары тарабынан берилген кредиттик карта маалыматын уурдоо үчүн.
Бул тууралуу санариптик сканерлөө менен күрөшүүгө адистешкен Sansec киберкоопсуздук компаниясы берген эрте аныктоо маалыматтарын талдоо учурунда табылган коопсуздук боюнча изилдөөчү Эрик Брандель билдирди.
Хакерлер script.google.com доменин өз максаттары үчүн колдонушат жана ошентип, өздөрүнүн зыяндуу аракеттерин коопсуздук чечимдеринен ийгиликтүү жашырып, Мазмунду коопсуздук саясатын (CSP) айланып өтүшөт. Чындыгында, онлайн дүкөндөр адатта Google Apps Script доменин ишенимдүү деп эсептешет жана көбүнчө бардык Google субдомендерин ак тизмеге киргизишет.
Бранделдин айтымында, ал интернет-дүкөндөрдүн веб-сайттарынан чабуулчулар киргизген веб-скиммер сценарийин тапкан. Башка MageCart скрипттери сыяктуу эле, ал колдонуучулардын төлөм маалыматын кармайт.
Бул скрипттин башка ушул сыяктуу чечимдерден эмнеси менен айырмаланып турганы, бардык уурдалган төлөм маалыматы base64-коддолгон JSON катары Google Apps Скриптине өткөрүлүп берилген жана скрипт [.] Google [.] Com домени уурдалган маалыматтарды алуу үчүн колдонулган. Ошондон кийин гана маалымат чабуулчу башкарган аналит доменине которулган [.] Tech.
"Зыяндуу домен analit [.] Tech мурда аныкталган зыяндуу домендер hotjar [.] Host жана pixelm [.] Tech, ошол эле тармакта жайгаштырылган, ошол эле күнү катталган", - деп белгилейт изилдөөчү.
Бул хакерлер жалпысынан Google кызматтарын жана өзгөчө Google Apps Scriptти кыянаттык менен колдонгон биринчи жолу эмес экенин айтыш керек. Мисалы, 2017-жылы Карбанак тобу өзүнүн C&C инфраструктурасынын негизи катары Google кызматтарын (Google Apps Script, Google Sheets жана Google Forms) колдоноору белгилүү болгон. Ошондой эле 2020-жылы Google Analytics платформасы MageCart түрүндөгү чабуулдар үчүн да кыянаттык менен пайдаланылып жатканы кабарланган.
Ошондой эле окуңуз: