Les attaquants abusent de la plate-forme de développement d'applications d'entreprise Script Google Apps pour avoir volé les informations de carte de crédit fournies par les clients des sites de commerce électronique lors d'achats en ligne.
Cela a été rapporté par le chercheur en sécurité Eric Brandel, qui l'a découvert en analysant les données de détection précoce fournies par Sansec, une société de cybersécurité spécialisée dans la lutte contre le balayage numérique.
Les pirates utilisent le domaine script.google.com à leurs fins et réussissent ainsi à cacher leur activité malveillante aux solutions de sécurité et à contourner la politique de sécurité du contenu (CSP). Le fait est que les magasins en ligne considèrent généralement le domaine Google Apps Script comme fiable et mettent souvent sur liste blanche tous les sous-domaines Google.
Brandel dit avoir trouvé un script d'écumeur Web introduit par des attaquants sur les sites Web des magasins en ligne. Comme tout autre script MageCart, il intercepte les informations de paiement des utilisateurs.
Ce qui différenciait ce script des autres solutions similaires était que toutes les informations de paiement volées étaient transmises sous forme de JSON encodé en base64 à Google Apps Script, et le script [.] Google [.] Le domaine Com était utilisé pour extraire les données volées. Ce n'est qu'après cela que les informations ont été transférées au domaine contrôlé par l'attaquant analit [.] Tech.
"Le domaine malveillant analit [.] Tech a été enregistré le même jour que les domaines malveillants précédemment détectés hotjar [.] Host et pixelm [.] Tech, qui sont hébergés sur le même réseau", note le chercheur.
Il faut dire que ce n'est pas la première fois que des hackers abusent des services de Google en général et de Google Apps Script en particulier. Par exemple, en 2017, on a appris que le groupe Carbanak utilisait les services Google (Google Apps Script, Google Sheets et Google Forms) comme base de son infrastructure C&C. Toujours en 2020, il a été signalé que la plate-forme Google Analytics était également abusée pour des attaques de type MageCart.
Lisez aussi: