黑客24小时在线接单网站

研究人员发现攻击者滥用Google Apps Script开发平台窃取电子商务网站客户在网上购物时提交的信用卡信息。

Google Apps Script(也称为Google Script)它是一个集成所有使用的应用程序开发平台Google Cloud服务。

Google为每个云服务提供一长串API。写作很简单Google你可以在应用程序中Google在许多服务中打开全世界的附加功能。

你可以使用Google Script一些操作包括：

               
• 在Google在表格中创建自定义功能；
               
• 将Google表格或Google文档与Gmail集成;
               
• 可用于创建Google配合平台部署的 *** 应用；
               
• 向Google添加自定义菜单的文档；
               
• 使用Google Analytics数据在Google *** 流量信息中心流量信息中心；
               
• 从Google表格或其他任何东西Google发送电子邮件的服务；

由于Google服务都在云中，可以从单个脚本编辑器中创建Google Apps Script。从该代码中，你可以使用适用于您使用的任何Google服务的API，这在大多数其他脚本平台上创造了一种很难找到的灵活性。

攻击过程

它们正在使用script.google.com域通过恶意软件扫描引擎成功隐藏恶意活动，绕过内容安全策略(CSP)控件。

攻击者的攻击过程如下：在线商店会认为Google Apps Script域是值得信赖的，有可能使其网站CSP配置(阻止Web所有应用程序中不可信代码执行的安全标准)Google子域列入白名单。

信用卡撇卡器(Magecart脚本或支付卡撇卡器(称为 *** 犯罪组织)Magecart组)注入的基础JavaScript脚本，它们是 *** 盗窃(又称电子盗窃)攻击的一部分，经常被注入被黑客入侵的网店。

信用卡撇卡器是一种当信用卡用于合法金融交易时，用于从带磁条的信用卡上窃取信息的装置。一旦信息被收集到设备上，撇卡器可以用来复制信用卡，用于欺诈，或者信息可以用于在线和 *** 交易，而不需要实体信用卡，只用于信用卡上的信息。

部署后，这些脚本允许他们收集被入侵商店的客户提交的付款和个人信息，并在他们控制的服务器上收集。

Google Apps Script域被用作渗透终端

埃里克，安全研究人员·布兰德尔(Eric Brandel)在分析Sansec在提供的早期非法检测数据中发现了这种新的支付信息盗窃策略，Sansec是一家致力于打击数字盗版的 *** 安全公司。

正如研究人员所发现的，攻击者在电子商务网站上注入的恶意模糊的撇渣脚本拦截了用户提交的付款信息。

使用script[.]google[.]com作为渗透终端，所有从感染的在线商店窃取的付款信息都被渗透终端base64编码的 *** ON数据发送到Google Apps Script自定义应用。

到达Google Apps Script基于以色列网站的数据被转发到攻击者控制的另一个服务器 *** it[.]tech。

Sansec说：

                                                                                               “恶意软件域名 *** it[.]tech恶意软件域名 hotjar[.]host 和pixelm[.]tech同一天注册，也托管在同一 *** 上。”                                                

这不是之一次滥用这一点Google服务，FIN7过去， *** 犯罪组织曾经和 *** 犯罪组织在一起Google Sheets和Google Forms该服务被用来命令和控制恶意软件。

自2015年年中以来，FIN7(又名Carbanak或Cobalt)使用Carbanak后门锁定了欧盟和美国公司的银行和销售点(PoS)终端。

Sansec补充说：

                                                                                               “这种新的威胁表明，只保护Web存储区域不与不可信的域进行通信是不够的。电子商务经理必须首先确保攻击者不能注入未经授权的代码。任何现代安全策略都必须监控服务器端的恶意软件和漏洞。”                                                

Google Analytics也被用来窃取信用卡信息

Google Analytics是著名的互联网公司Google为网站提供数据统计服务。访问数据统计和分析目标网站，并为网站所有者提供各种参数。

Magecart还滥用了其他攻击Google攻击者使用服务Google Analytics该平台从数十家在线商店窃取了付款信息。

更糟糕的是，攻击者也可以滥用Google AnalyticsAPI来规避CSP，因为他们看到网上商店在其中CSP配置中将Google列入白名单的 *** 分析服务跟踪访问者。

正如Sansec和PerimeterX当时发现的允许Google Analytics脚本不是为了阻止基于注入的攻击，而是为了让攻击者窃取和泄露数据。

这是专门用来编码被盗数据并以加密的形式发送给攻击者的Google Analytics仪表板的web skimmer脚本完成了。Web skimmer，也被称之为Magecart攻击被评为2018年最危险的安全威胁，近期不会消失。2019年将出现新的威胁Web Skimming攻击变种。目前，这种攻击主要针对支付数据，因为Web Skimming在目标网站上填写任何信息，Magecart该组织将业务从信用卡数据扩展到登录凭证和其他敏感信息。

根据BuiltWith目前有2800多万网站在使用统计数据。Google的GA根据 *** 分析服务PerimeterX统计到2020年3月通过HTTPArchive17000个网站将扫描可访问的网站google- *** ytics.com域列入白名单。

Sansec解释说：“通常，数字撇卡器(也称为Magecart)在避税天堂的避税服务器上运行，其位置揭示了其攻击意图。然而，当攻击完全值得信赖时Google当服务器运行时，很少有安全系统会将其标记为“可疑”。而且更重要的是，当网站管理员信任Google内容安全策略等(CSP)这种流行的对策不会起到任何安全保护作用。”

Sansec首席执行官兼创始人Willem de Groot告诉BleepingComputer：

                                                                                               “发明CSP限制不可信代码的执行。然而，因为几乎每个人都相信Google，所以模型本身也有缺陷。”                                                

本文翻译自：

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/