研究者發(fā)現(xiàn)攻擊者正濫用Google Apps Script開發(fā)平臺(tái)來竊取電子商務(wù)網(wǎng)站客戶在在線購(gòu)物時(shí)提交的信用卡信息。

Google Apps Script(也稱為Google Script)是一個(gè)應(yīng)用程序開發(fā)平臺(tái)，可讓你集成所有使用的Google Cloud服務(wù)。

Google為每個(gè)云服務(wù)提供了一長(zhǎng)串API。通過編寫非常簡(jiǎn)單的Google應(yīng)用程序，你可以在Google的眾多服務(wù)中打開整個(gè)世界的附加功能。

你可以使用Google Script執(zhí)行的一些操作包括：

• 在Google表格中創(chuàng)建自定義功能;
• 將Google表格或Google文檔與Gmail集成;
• 創(chuàng)建可以使用Google協(xié)作平臺(tái)部署的網(wǎng)絡(luò)應(yīng)用;
• 向Google文檔添加自定義菜單;
• 使用Google Analytics數(shù)據(jù)在Google表格中創(chuàng)建 網(wǎng)絡(luò)流量信息中心;
• 從Google表格或任何其他Google服務(wù)發(fā)送電子郵件;

由于Google服務(wù)都在云中，因此你可以從單個(gè)腳本編輯器創(chuàng)建Google Apps Script。從該代碼中，你可以使用適用于您使用的任何Google服務(wù)的API，這創(chuàng)造了一種在大多數(shù)其他腳本平臺(tái)中很難找到的靈活性。

攻擊過程

他們正在使用script.google.com域通過惡意軟件掃描引擎成功隱藏其惡意活動(dòng)，并繞過內(nèi)容安全策略(CSP)控件。

攻擊者的攻擊過程如下：在線商店會(huì)認(rèn)為Google Apps Script域是受信任的，并有可能將其網(wǎng)站的CSP配置(阻止Web應(yīng)用程序中不受信任的代碼執(zhí)行的安全標(biāo)準(zhǔn))的所有Google子域列入白名單。

信用卡撇卡器(Magecart腳本或支付卡撇卡器)是由網(wǎng)絡(luò)犯罪組織(稱為Magecart組)注入的基于JavaScript的腳本，它們是網(wǎng)絡(luò)竊取(也稱為電子竊取)攻擊的一部分，經(jīng)常被注入到被黑客入侵的在線商店中。

信用卡撇卡器是一種當(dāng)信用卡在合法的金融交易中使用時(shí)，用來從帶有磁條的信用卡上竊取信息的裝置。一旦在該裝置上收集到信息，撇卡器就可以用來復(fù)制信用卡，用于欺詐目的，或者收集到的信息可以用于不需要實(shí)體信用卡的在線和電話交易，僅用于信用卡上的信息。

部署后，這些腳本使他們可以收獲被入侵商店的客戶提交的付款和個(gè)人信息，并將其收集在他們控制下的服務(wù)器上。

Google Apps Script域被用作滲透終端

安全研究人員埃里克·布蘭德爾(Eric Brandel)在分析Sansec提供的早期違規(guī)檢測(cè)數(shù)據(jù)時(shí)發(fā)現(xiàn)了這種新的付款信息盜竊策略，Sansec是一家致力于打擊數(shù)字盜版的網(wǎng)絡(luò)安全公司。

正如研究者發(fā)現(xiàn)的那樣，攻擊者在電子商務(wù)網(wǎng)站中注入的惡意且模糊的撇渣腳本攔截了用戶提交的付款信息。

使用script[.]google[.]com作為滲透終端，將從受感染的在線商店竊取的所有付款信息作為base64編碼的JSON數(shù)據(jù)發(fā)送到Google Apps Script自定義應(yīng)用。

到達(dá)Google Apps Script終端后，數(shù)據(jù)被轉(zhuǎn)發(fā)到由攻擊者控制的另一臺(tái)服務(wù)器，它基于以色列的網(wǎng)站analit[.]tech。

Sansec說：

這并不是第一次濫用此Google服務(wù)，F(xiàn)IN7網(wǎng)絡(luò)犯罪組織過去曾與Google Sheets和Google Forms服務(wù)一起使用該服務(wù)來進(jìn)行惡意軟件的命令和控制。

自2015年年中以來，F(xiàn)IN7(又名Carbanak或Cobalt)使用Carbanak后門鎖定了歐盟和美國(guó)公司的銀行和銷售點(diǎn)(PoS)終端。

Sansec補(bǔ)充說：

Google Analytics也被濫用來竊取信用卡信息

Google Analytics是著名互聯(lián)網(wǎng)公司Google為網(wǎng)站提供的數(shù)據(jù)統(tǒng)計(jì)服務(wù)。可以對(duì)目標(biāo)網(wǎng)站進(jìn)行訪問數(shù)據(jù)統(tǒng)計(jì)和分析，并提供多種參數(shù)供網(wǎng)站擁有者使用。

Magecart攻擊還濫用了其他Google服務(wù)，攻擊者使用Google Analytics平臺(tái)從數(shù)十個(gè)在線商店竊取了付款信息。

更糟的是，攻擊者還可以通過濫用Google AnalyticsAPI來規(guī)避CSP，因?yàn)樗麄兛吹骄W(wǎng)絡(luò)商店在其CSP配置中將Google的網(wǎng)絡(luò)分析服務(wù)列入白名單以跟蹤訪問者。

正如Sansec和PerimeterX當(dāng)時(shí)發(fā)現(xiàn)的那樣，允許Google Analytics腳本而不是阻止基于注入的攻擊，而是使攻擊者能夠利用它們來竊取和泄露數(shù)據(jù)。

這是使用專門用于編碼被盜數(shù)據(jù)并以加密形式將其發(fā)送到攻擊者的Google Analytics儀表板的web skimmer腳本完成的。Web skimmer，也被稱之為Magecart攻擊，它被評(píng)為了2018年最危險(xiǎn)的安全威脅，而且這種威脅并不會(huì)在近期消失，2019年還出現(xiàn)新型的Web Skimming攻擊變種。目前，這種攻擊主要針對(duì)的是支付數(shù)據(jù)，因?yàn)閃eb Skimming能夠?qū)⑷我庑畔⑻畛溥M(jìn)目標(biāo)網(wǎng)站中，而Magecart組織會(huì)將業(yè)務(wù)從信用卡數(shù)據(jù)擴(kuò)展到登錄憑證以及其他敏感信息上。

根據(jù)BuiltWith提供的統(tǒng)計(jì)數(shù)據(jù)，目前有超過2800萬個(gè)網(wǎng)站正在使用Google的GA網(wǎng)絡(luò)分析服務(wù)，根據(jù)PerimeterX的統(tǒng)計(jì)，到2020年3月通過HTTPArchive掃描可訪問的網(wǎng)站中有17000個(gè)網(wǎng)站將google-analytics.com域列入了白名單。

Sansec當(dāng)時(shí)解釋說：“通常，數(shù)字撇卡器(又名Magecart)在避稅天堂的躲避服務(wù)器上運(yùn)行，其位置揭示了其攻擊意圖。但是，當(dāng)攻擊活動(dòng)完全在受信任的Google服務(wù)器上運(yùn)行時(shí)，很少有安全系統(tǒng)會(huì)將其標(biāo)記為“可疑”。而且更重要的是，當(dāng)網(wǎng)站管理員信任Google時(shí)，諸如內(nèi)容安全策略(CSP)之類的流行對(duì)策將起不到任何安全保護(hù)作用。”

Sansec首席執(zhí)行官兼創(chuàng)始人Willem de Groot告訴BleepingComputer：

本文翻譯自：

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/