Os invasores abusam da plataforma de desenvolvimento de aplicativos de negócios Script do Google Apps por roubar informações de cartão de crédito fornecidas por clientes de sites de comércio eletrônico ao fazer compras online.
Isso foi relatado pelo pesquisador de segurança Eric Brandel, que descobriu isso ao analisar dados de detecção precoce fornecidos pela Sansec, uma empresa de segurança cibernética especializada no combate à digitalização digital.
Os hackers usam o domínio script.google.com para seus propósitos e, assim, ocultam com sucesso suas atividades maliciosas das soluções de segurança e ignoram a Política de Segurança de Conteúdo (CSP). O fato é que as lojas online geralmente consideram o domínio do Google Apps Script confiável e muitas vezes colocam na lista de permissões todos os subdomínios do Google.
Brandel diz que encontrou um script de skimmer da web introduzido por invasores nos sites de lojas online. Como qualquer outro script MageCart, ele intercepta as informações de pagamento dos usuários.
O que tornou esse script diferente de outras soluções semelhantes foi que todas as informações de pagamento roubadas foram transmitidas como JSON codificado em base64 para o Google Apps Script, e o domínio do script [.] Google [.] Com foi usado para extrair os dados roubados. Somente depois disso, as informações foram transferidas para o domínio controlado pelo invasor analit [.] Tech.
"O domínio malicioso analit [.] Tech foi registrado no mesmo dia que os domínios maliciosos detectados anteriormente hotjar [.] Host e pixelm [.] Tech, que estão hospedados na mesma rede", observa o pesquisador.
Deve-se dizer que esta não é a primeira vez que os hackers abusam dos serviços do Google em geral e do Google Apps Script em particular. Por exemplo, em 2017, soube-se que o grupo Carbanak usa os serviços do Google (Google Apps Script, Google Sheets e Google Forms) como base para sua infraestrutura de C&C. Também em 2020, foi relatado que a plataforma Google Analytics também está sendo abusada por ataques do tipo MageCart.
Leia também: