Google Apps Script используют, чтобы воровать данные банковских карт - «Новости» » Интернет технологии
sitename
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Google Apps Script используют, чтобы воровать данные банковских карт - «Новости»

ИБ-эксперт Эриком Брандель (Eric Brandel) обнаружил, что злоумышленники злоупотребляют платформой Google Apps Script для кражи информации о банковских картах, которую пользователи предоставляют e-commerce сайтам при совершении покупок в интернете.


Хакеры используют для своих целей домен script.google.com и таким образом  успешно скрывают свою вредоносную активность от защитных решений, а также обходят Content Security Policy (CSP). Дело в том, что интернет-магазины обычно рассматривают домен Google Apps Script как надежный и часто заносят в белый список вообще все поддомены Google.


Брандель рассказывает, что нашел обфусцированный скрипт веб-скиммера, внедренного злоумышленниками на сайты интернет-магазинов. Как и любой другой MageCart-скрипт, он перехватывает платежную информацию пользователей.


От других похожий решений этот скрипт отличало то, что вся ворованная платежная информация передавалась в виде JSON в кодировке base64 в Google Apps Script, и домен script[.]google[.]com использовался для извлечения краденных данных. Только после этого  информация передавалась на подконтрольный атакующим домен analit[.]tech.


«Вредоносный домен analit[.]tech был зарегистрирован в тот же день, что и ранее обнаруженные вредоносные домены hotjar[.]host и pixelm[.]tech, которые размещены в той же сети», — отмечает исследователь.


Нужно сказать, что это не первый случай, когда хакеры злоупотребляют сервисами Google в целом и Google Apps Script в частности. К примеру, еще в 2017 году стало известно, что группировка  Carbanak использует сервисы Google (Google Apps Script, Google Sheets и Google Forms) в качестве основы для своей C&C-инфраструктуры. Также в 2020 году сообщалось, что платформой Google Analytics тоже злоупотребляют для атак типа MageCart.


ИБ-эксперт Эриком Брандель (Eric Brandel) обнаружил, что злоумышленники злоупотребляют платформой Google Apps Script для кражи информации о банковских картах, которую пользователи предоставляют e-commerce сайтам при совершении покупок в интернете. Хакеры используют для своих целей домен script.google.com и таким образом успешно скрывают свою вредоносную активность от защитных решений, а также обходят Content Security Policy (CSP). Дело в том, что интернет-магазины обычно рассматривают домен Google Apps Script как надежный и часто заносят в белый список вообще все поддомены Google. Брандель рассказывает, что нашел обфусцированный скрипт веб-скиммера, внедренного злоумышленниками на сайты интернет-магазинов. Как и любой другой MageCart-скрипт, он перехватывает платежную информацию пользователей. От других похожий решений этот скрипт отличало то, что вся ворованная платежная информация передавалась в виде JSON в кодировке base64 в Google Apps Script, и домен script_
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: