研究人员发现,攻击者滥用GoogleAppsScript开发平台窃取电子商务网站客户在线购物时提交的信用卡信息。GoogleAppsScript(也称为GoogleScript)是一个应用程序开发平台,可让您集成您使用的所有GoogleCloud服务。Google为每项云服务提供了一长串API。通过编写非常简单的Google应用程序,您可以在Google的许多服务中打开一个完整的附加功能世界。您可以使用GoogleScript执行的一些操作包括:在Google表格中创建自定义功能;将Google表格或Google文档与Gmail集成;创建可使用Google协作平台部署的网络应用程序;向Google文档添加自定义菜单;使用GoogleAnalytics数据在Google表格中创建网络流量仪表板;从Google表格或任何其他Google服务发送电子邮件;由于Google服务都在云中,您可以从一个脚本编辑器创建GoogleApps脚本。从该代码中,您可以将API用于您使用的任何Google服务,这创造了大多数其他脚本平台难以找到的灵活性。他们使用script.google.com域成功地从恶意软件扫描引擎中隐藏他们的恶意活动并绕过内容安全策略(CSP)控制。攻击者的攻击过程如下:在线商店将认为GoogleAppsScript域是可信的,并可能将其网站CSP配置(一种防止在Web应用程序中执行不受信任的代码执行的安全标准)的所有Google子域设置为白名单。信用卡窃取程序(Magecart脚本或支付卡窃取程序)是由网络犯罪集团(称为Magecart集团)注入的基于JavaScript的脚本,通常作为网络窃取(也称为电子窃取)攻击的一部分注入被黑的在线商店。信用卡窃取器是一种设备,用于在信用卡用于合法金融交易时从带有磁条的信用卡中窃取信息。一旦在设备上收集了信息,窃取器就可以用来复制信用卡以达到欺诈目的,或者收集到的信息可以用于不需要实体信用卡的在线和电话交易,只需要信用卡上的信息卡片。一旦部署,这些脚本允许他们收集受感染商店的客户提交的付款和个人信息,并将其收集在他们控制的服务器上。用于渗透端点的GoogleApps脚本域安全研究员EricBrandel在分析Sansec提供的早期漏洞检测数据时发现了这种新的支付信息窃取策略,Sansec是一家致力于网络安全公司打击数字盗版的公司。正如研究人员发现的那样,攻击者向电子商务网站注入恶意和混淆的窃取脚本会拦截用户提交的支付信息。使用script[.]google[.]com作为渗透端点,从受感染的在线商店窃取的所有支付信息都作为base64编码的JSON数据发送到GoogleApps脚本自定义应用程序。一旦到达GoogleAppsScript端点,数据就会转发到另一台由攻击者控制的服务器,该服务器基于以色列网站analit[.]tech。“恶意软件域analit[.]tech与之前发现的恶意软件域hotjar[.]host和pixelm[.]tech在同一天注册,它们也托管在同一网络上,”Sansec说。这不是第一次这种谷歌服务第一次被滥用,FIN7网络犯罪集团过去曾将其与谷歌表格和谷歌表格服务结合使用,用于恶意软件命令和控制。自2015年年中以来,FIN7(又名Carbanak或Cobalt)使用Carbanak后门攻击欧盟和美国公司的银行和销售点(PoS)终端。Sansec补充说:“这种新威胁表明,在不与不受信任的域通信的情况下保护Web存储库是不够的。电子商务经理必须首先确保攻击者不能注入未经授??权的代码、服务器端恶意软件和漏洞监控对于任何现代安全策略都是必不可少的。“GoogleAnalytics也曾被滥用窃取信用卡信息GoogleAnalytics是著名互联网公司Google为网站提供的数据统计服务。可以对目标网站的访问数据进行统计分析,提供多种参数供网站所有者使用。Magecart攻击还滥用了其他谷歌服务,攻击者使用谷歌分析平台从数十家在线商店窃取支付信息。更糟糕的是,攻击者还可以通过滥用GoogleAnalyticsAPI来绕过CSP,因为他们看到网上商店在其CSP配置中将Google的网络分析服务列入白名单以跟踪访问者。正如Sansec和PerimeterX当时发现的那样,允许使用GoogleAnalytics脚本而不是防止基于注入的攻击会使攻击者能够利用它们来窃取和泄露数据。这是使用专门设计用于对被盗数据进行编码并将其以加密形式发送到攻击者的GoogleAnalytics仪表板的Webskimmer脚本完成的。Webskimmer,也被称为Magecart攻击,被评为2018年最危险的安全威胁,并且这种威胁在不久的将来不会消失。2019年,WebSkimming攻击的新变种将出现。目前这种攻击主要针对支付数据,因为WebSkimming可以向目标网站填充任意信息,而Magecart集团会将业务从信用卡数据扩展到登录凭证等敏感信息。根据BuiltWith提供的统计数据,目前有超过2800万个网站正在使用Google的GA网页分析服务。据PerimeterX统计,到2020年3月,17,000个可以通过HTTPArchive扫描访问的网站将使用google-analytics。com域被列入白名单。Sansec当时解释说:“通常,数字掠夺者(又名Magecart)在避税天堂的规避服务器上运行,其位置揭示了他们的攻击意图。然而,当活动完全在受信任的谷歌服务器上运行时,很少有安全系统会标记它被认为是“可疑的”。更重要的是,当网站管理员信任谷歌时,内容安全策略(CSP)等流行的反制措施将不会提供任何安全保护。Sansec首席执行官兼创始人WillemdeGroot告诉BleepingComputer:“CSP的发明是为了限制不受信任的代码的执行。但是,由于几乎每个人都信任Google,因此该模型本身存在缺陷。》本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/
