Les pirates informatiques abusent de Google Apps Script pour voler des cartes de crédit et contourner le CSP

Image: Google

Les attaquants exploitent la plate-forme de développement d’applications commerciales Apps Script de Google pour voler les informations de carte de crédit soumises par les clients de sites Web de commerce électronique lors de leurs achats en ligne.

Vous utilisez le script.google.com Domaine pour masquer avec succès leurs activités malveillantes des moteurs d’analyse des logiciels malveillants et contourner les contrôles de stratégie de sécurité du contenu (CSP).

Ils profitent du fait que les magasins en ligne considèrent les applications Script-Domain de Google comme dignes de confiance et peuvent mettre en liste blanche tous les sous-domaines Google sur leurs sites Web. CSP Configuration (une norme de sécurité utilisée pour empêcher le code non approuvé de s’exécuter dans les applications Web).

Les skimmers de cartes de crédit (scripts Magecart ou skimmers de cartes de paiement) sont des scripts JavaScript créés par des groupes de cybercriminalité appelés Groupes de chars de mage Piratage de boutiques en ligne piratées dans le cadre d’attaques d’écrémage Web (également appelées e-skimming).

Une fois déployés, ils peuvent utiliser les scripts pour collecter le paiement et les données personnelles soumises par les clients des boutiques piratées et les collecter sur des serveurs qui sont sous leur contrôle.

Domaine Google Apps Script utilisé comme point de terminaison d’exfiltration

Cette nouvelle tactique de vol des informations de paiement a été découverte par le chercheur en sécurité Eric Brandel tout en analysant les données pour la détection précoce des violations de Sansec, une entreprise de cybersécurité axée sur la lutte contre l’écrémage numérique.

Comme il l’a découvert, le script Skimmer malveillant et déguisé inséré par les attaquants sur les sites de commerce électronique a intercepté les informations de paiement soumises par les utilisateurs.

Toutes les informations de paiement volées dans la boutique en ligne compromise ont été envoyées sous forme de données JSON encodées en base64 à une application Google Apps Script personnalisée à l’aide d’un script[.]Google[.]com comme point de terminaison d’exfiltration.

Après avoir atteint le point de terminaison Google Apps Script, les données ont été transmises à un autre serveur – une société d’analyse de site basée en Israël[.]Tech – contrôlé par les attaquants.

« L’analyse du domaine des malwares[.]tech a été enregistré le même jour que découvert précédemment Domaines malveillants Hotjar[.]Hôte et pixel[.]Des technologies qui sont également hébergées sur le même réseau », a déclaré Sansec mentionné.

Échec de l'accès à l'application Google Apps Script personnalisée de l'attaquant
Échec de l’accès à l’application Google Apps Script personnalisée de l’attaquant ((Sansec)

Ce n’est pas la première fois que ce service Google fait l’objet d’abus les cybercriminels FIN7 Utilisez-le par le passé avec les services Google Sheets et Google Forms pour la gestion et le contrôle des logiciels malveillants.

Depuis mi-2015, FIN7 (également connu sous le nom de Carbanak ou Cobalt) s’adresse aux banques et aux terminaux de point de vente de l’UE et des États-Unis qui utilisent Internet Carbanak Porte arrière.

« Cette nouvelle menace montre qu’il ne suffit pas de protéger les boutiques en ligne contre les communications avec des domaines non approuvés », a ajouté Sansec.

«Les responsables du commerce électronique doivent veiller à ce que les attaquants ne puissent pas injecter principalement du code non autorisé. La surveillance des logiciels malveillants et des vulnérabilités côté serveur est essentielle à toute politique de sécurité moderne.»

Google Analytics est également utilisé pour voler des cartes de crédit

D’autres services Google ont également été abusés lors d’attaques Magecart La plate-forme Google Analytics est utilisée par les attaquants Volez des informations de paiement dans des dizaines de boutiques en ligne.

Ce qui a rendu ces attaques encore pires, c’est qu’en utilisant à mauvais escient l’API Google Analytics, les acteurs de la menace ont également pu contourner le CSP, car les magasins Web ajoutent à la liste blanche le service d’analyse Web de Google dans leur configuration CSP pour suivre les visiteurs.

Comme Sansec et PerimeterX l’ont découvert à l’époque, les attaquants n’ont pas pu bloquer les attaques par injection à l’aide de scripts Google Analytics, mais les ont plutôt utilisés pour voler et exfiltrer des données.

Cela a été fait à l’aide d’un script web skimmer spécialement conçu pour encoder les données volées et les envoyer cryptées au tableau de bord Google Analytics de l’attaquant.

Basé sur des statistiques de Construit avecActuellement, plus de 28 millions de sites Web utilisent les services d’analyse Web GA de Google. 17000 sites Web peuvent être atteints via une analyse des archives HTTP en mars 2020 et, selon les statistiques de PerimeterX, ajoutent le domaine google-analytics.com à la liste blanche.

« Habituellement, un skimmer numérique (alias Magecart) fonctionne sur des serveurs minables dans les paradis fiscaux, et son emplacement montre son intention néfaste », expliquait Sansec à l’époque.

« Cependant, si une campagne d’écrémage est entièrement exécutée sur des serveurs Google de confiance, peu de systèmes de sécurité la marquent comme » suspecte « . Plus important encore, les contre-mesures courantes telles que la politique de sécurité du contenu (CSP) ne fonctionnent pas si un administrateur de site fait confiance à Google. »

« CSP a été inventé pour limiter l’exécution de code non fiable, mais comme presque tout le monde fait confiance à Google, le modèle est imparfait », a déclaré le PDG et fondateur de Sansec. Willem de Groot a également déclaré BleepingComputer.





Source link

Recent Posts