Παρασκευή, 19 Φεβρουαρίου, 18:14
Αρχική security Χάκερς κλέβουν στοιχεία πιστωτικών καρτών με το Google Apps Script!

Χάκερς κλέβουν στοιχεία πιστωτικών καρτών με το Google Apps Script!

Χάκερς καταχρώνται το Google Apps Script (πλατφόρμα scripting που αναπτύχθηκε από την Google για ελαφριά ανάπτυξη εφαρμογών στην πλατφόρμα Google Workspace), έχοντας ως στόχο να κλέψουν στοιχεία πιστωτικών καρτών που έχουν υποβληθεί από πελάτες e-commerce sites κατά τη διάρκεια online αγορών. Συγκεκριμένα, οι κακόβουλοι παράγοντες χρησιμοποιούν το domain script.google.com για να κρύψουν με επιτυχία την κακόβουλη δραστηριότητά τους από μηχανές σάρωσης malware και να παρακάμψουν την Πολιτική Ασφάλειας Περιεχομένου (CSP).

Χάκερς κλέβουν στοιχεία πιστωτικών καρτών με το Google Apps Script!

Όπως αναφέρει το BleepingComputer, οι χάκερς εκμεταλλεύονται το γεγονός ότι τα online stores θα θεωρούσαν το domain του Google Apps Script αξιόπιστο και ενδεχομένως στη λίστα επιτρεπόμενων όλων των subdomains της Google στη διαμόρφωση CSP των sites τους (ένα πρότυπο ασφαλείας για τον αποκλεισμό της μη αξιόπιστης εκτέλεσης κώδικα σε web εφαρμογές).
Οι skimmers πιστωτικών καρτών (Magecart scripts ή skimmers καρτών πληρωμής) είναι Java-based scripts που εισάγονται από ομάδες κυβερνοεγκλήματος – γνωστές ως ομάδες Magecart – σε online stores κατά τη διάρκεια e-skimming επιθέσεων.

Μόλις αναπτυχθούν, τα scripts επιτρέπουν στους χάκερς να συλλέξουν τα χρήματα και τα προσωπικά στοιχεία που υποβάλλονται από τους πελάτες των παραβιασμένων καταστημάτων και, στη συνέχεια, να τα μεταφέρουν σε servers που έχουν υπό τον έλεγχό τους.

Magecart

Αυτή η νέα τακτική κλοπής πληροφοριών πληρωμής ανακαλύφθηκε από τον ερευνητή ασφαλείας Eric Brandel, ενώ ανέλυε τα δεδομένα του Early Detach Detection που παρείχε η Sansec, μια εταιρεία κυβερνοασφάλειας που επικεντρώνεται στην καταπολέμηση του digital skimming.

Ο Brandel ανακάλυψε ότι το κακόβουλο skimmer script που εισήχθη από τους εισβολείς σε e-commerce sites, επηρέασε τις πληροφορίες πληρωμής που υπέβαλαν οι χρήστες.

Χάκερς κλέβουν στοιχεία πιστωτικών καρτών με το Google Apps Script!

Όλα τα στοιχεία πληρωμής που κλάπηκαν από παραβιασμένα online stores, στάλθηκαν ως δεδομένα JSON με κωδικοποίηση base64 σε ένα Google Apps Script custom app, με τη χρήση του script [.] Google [.] Com ως τελικό σημείο της «απομάκρυνσης». Αφού έφτασαν στο τελικό σημείο του Google Apps script, τα δεδομένα προωθήθηκαν σε έναν άλλο server – site που συνδέεται με το Ισραήλ analit[.]tech – το οποίο ελέγχεται από τους χάκερς.

Αυτή δεν είναι η πρώτη φορά που κακόβουλοι παράγοντες καταχρώνται υπηρεσία της Google. Στο παρελθόν, έχει σημειωθεί παρόμοιο περιστατικό, πίσω από το οποίο βρισκόταν η hacking ομάδα “FIN7” (γνωστή και ως Carbanak ή Cobalt), η οποία καταχράστηκε τα Google Sheets και Google Forms για malware command-and-control. Από τα μέσα του 2015, η FIN7 έχει στοχεύσει τράπεζες και PoS (point-of-sale) terminals εταιρειών της Ε.Ε. και των ΗΠΑ, χρησιμοποιώντας το Carbanak backdoor.

Σύμφωνα με τη Sansec, οι διαχειριστές e-commerce sites πρέπει να διασφαλίσουν ότι οι εισβολείς δεν θα μπορούν να εισάγουν μη εξουσιοδοτημένο κώδικα. Η παρακολούθηση για τυχόν server-side malware και ευπάθειες είναι απαραίτητη σε οποιαδήποτε σύγχρονη πολιτική ασφαλείας.

Χάκερς κλέβουν στοιχεία πιστωτικών καρτών με το Google Apps Script!

Οι χάκερς καταχράστηκαν και άλλες υπηρεσίες της Google κατά τη διάρκεια Magecart επιθέσεων, με το Google Analytics να έχει χρησιμοποιηθεί από τους κακόβουλους παράγοντες για την κλοπή στοιχείων πληρωμής από δεκάδες online stores.

Αυτό που έκανε τις επιθέσεις χειρότερες ήταν ότι με την κατάχρηση του API του Google Analytics, οι κακόβουλοι παράγοντες θα μπορούσαν επίσης να παρακάμψουν το CSP, βλέποντας ότι τα web stores προσθέτουν στη λίστα επιτρεπόμενων την υπηρεσία ανάλυσης ιστού της Google στη διαμόρφωση CSP για παρακολούθηση των επισκεπτών.

Σύμφωνα με τις Sansec και PerimeterX, αντί να αποκλειστούν οι injection-based επιθέσεις, επετράπησαν τα scripts του Google Analytics, γεγονός που έδωσε στους χάκερς τη δυνατότητα να τα χρησιμοποιήσουν για κλοπή και απομάκρυνση δεδομένων. Αυτό έγινε με τη χρήση ενός web skimmer script που είναι ειδικά σχεδιασμένο για να κωδικοποιεί κλεμμένα δεδομένα και να τα στείλνει στον πίνακα ελέγχου του Google Analytics του εισβολέα σε κρυπτογραφημένη μορφή.

Google Analytics

Με βάση τα στατιστικά στοιχεία που παρέχει η BuiltWith, πάνω από 28 εκατομμύρια sites χρησιμοποιούν αυτήν τη στιγμή τις υπηρεσίες ανάλυσης ιστού GA της Google.

Επιπλέον, η Sansec σημείωσε πως όταν μια εκστρατεία skimming εκτελείται εξ ολοκλήρου σε αξιόπιστους Google servers, πολύ λίγα συστήματα ασφαλείας θα την επισημάνουν ως “ύποπτη”. Και το πιο σημαντικό, τα δημοφιλή αντίμετρα, όπως το CSP, δεν θα είναι αποτελεσματικά όταν ένας διαχειριστής ιστότοπου εμπιστεύεται την Google.

Τέλος, ο Willem de Groot, CEO και ιδρυτής της Sansec, δήλωσε στο BleepingComputer ότι το CSP εφευρέθηκε για να περιορίσει την εκτέλεση μη αξιόπιστου κώδικα. Αλλά επειδή σχεδόν όλοι εμπιστεύονται την Google, το μοντέλο είναι «ελαττωματικό».

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...

ΗΠΑ και Ηνωμένο Βασίλειο καταδικάζουν το Facebook για το block στην Αυστραλία

Πολιτικοί, ειδησεογραφικοί πράκτορες και ομάδες πολιτικών δικαιωμάτων στο Ηνωμένο Βασίλειο και τις ΗΠΑ έχουν στοχοποιήσει το Facebook για την απόφασή του να...

Το Vaio Z (2021) κυκλοφόρησε – Ποιες είναι οι προδιαγραφές του

Το Vaio Z (2021) κυκλοφόρησε ως το τελευταίο laptop της Vaio Corporation που εδρεύει στην Ιαπωνία. Το laptop έρχεται με ένα περίγραμμα...

Κλωνοποιήθηκε με επιτυχία ένα κουνάβι που απειλείται με εξαφάνιση

Σε ότι αφορά την κλωνοποίηση, η πρώτη σας σκέψη πιθανότατα δεν είναι ένα μαυροπόδαρο κουνάβι που ονομάζεται Elizabeth Ann – αλλά μάλλον...

Ιδιοκτήτης software εταιρείας ένοχος για απάτες και κατοχή υλικού παιδικής πορνογραφίας

Ο ιδιοκτήτης δύο εταιρειών με έδρα τη Virginia (η μία είναι εταιρεία παροχής software) ομολόγησε την ενοχή του για την πραγματοποίηση παράνομων...