Los piratas informáticos abusan de Google Apps Script para robar tarjetas de crédito, sin pasar por CSP

Imagen: Google

Los atacantes están abusando de la plataforma de desarrollo de aplicaciones comerciales Apps Script de Google para robar información de tarjetas de crédito enviada por clientes de sitios de comercio electrónico mientras compran en línea.

Están usando el script.google.com dominio para ocultar con éxito su actividad maliciosa de los motores de análisis antimalware y omitir las comprobaciones de la Política de seguridad de contenido (CSP).

Aprovechan el hecho de que las tiendas en línea considerarían que el dominio de Google Apps Script es confiable y potencialmente incluirían en la lista blanca todos los subdominios de Google en sus sitios ". CSP configuración (un estándar de seguridad para bloquear la ejecución de código no confiable en aplicaciones web).

Los skimmers de tarjetas de crédito (scripts Magecart o skimmers de tarjetas de pago) son scripts basados ​​en JavaScript inyectados por grupos de ciberdelincuencia conocidos como grupos Magecart que se inyectan en tiendas en línea comprometidas como parte de ataques de skimming web (también conocidos como e-skimming).

Una vez distribuidos, los scripts les permiten recopilar el pago y la información personal enviada por los clientes de la tienda pirateada y recopilarla en los servidores bajo su control.

Dominio de Google Apps Script utilizado como punto final de exfiltración

Esta nueva táctica de robo de información de pago fue descubierta por un investigador de seguridad Eric Brandel al analizar los datos de detección temprana de infracciones proporcionados por Sansec, una empresa de ciberseguridad centrada en la lucha contra el skimming digital.

Como descubrió, el script skimmer malicioso y ofuscado inyectado por los atacantes en los sitios de comercio electrónico interceptó los formularios de pago enviados por los usuarios.

Toda la información de pago robada de la tienda en línea pirateada está empaquetada con codificación base64 y se filtra en una aplicación personalizada de Google Apps Script como datos JSON.

Después de llegar al punto final de Google Apps Script, los datos se reenvían a otro servidor: el sitio de análisis israelí[.]tecnología - controlada por atacantes.

"El dominio del malware analítico[.]tech se grabó el mismo día que descubierto antes dominios de malware hotjar[.]host y pixelm[.]tech, que también están alojados en la misma red ", Sansec Ella dijo.

Esta no es la primera vez que se abusa de este servicio de Google, con el grupo de ciberdelincuentes FIN7 usándolo en el pasado junto con los servicios Google Sheets y Google Forms para el comando y control de malware.

Desde mediados de 2015, FIN7 (también conocido como Carbanak o Cobalt) se ha dirigido a bancos y terminales de punto de venta (PoS) de empresas de la UE y EE. UU. Carbanak puerta trasera.

"Esta nueva amenaza muestra que simplemente proteger a las tiendas web para que no se comuniquen con dominios que no son de confianza no es suficiente", agregó Sansec.

"Los gerentes de comercio electrónico deben asegurarse de que los atacantes no puedan inyectar código no autorizado en primer lugar. El monitoreo de malware y vulnerabilidades del lado del servidor es esencial en cualquier política de seguridad moderna".

Google Analytics también abusó para robar tarjetas de crédito

También se abusó de otros servicios de Google en los ataques Magecart, y los atacantes también utilizaron la plataforma Google Analytics para robar información de pago de varias docenas de tiendas en línea.

Lo que empeoró esos ataques fue que, al abusar de la API de Google Analytics, los actores de amenazas también podían eludir la CSP, ya que las tiendas web incluyen en la lista blanca el servicio de análisis web de Google en su configuración de CSP para el seguimiento de visitantes.

Como descubrieron Sansec y PerimeterX en ese momento, en lugar de bloquear los ataques basados ​​en inyecciones, permiten que los scripts de Google Analytics los usen para robar y extraer datos.

Esto se hizo utilizando un script de skimmer web diseñado específicamente para codificar los datos robados y enviarlos al panel de Google Analytics del atacante en forma encriptada.

Basado en estadísticas proporcionadas por Construido con, más de 28 millones de sitios están utilizando actualmente los servicios de análisis web GA de Google, con 17,000 de los sitios web accesibles a través de un rastreo HTTPArchive en marzo de 2020 al incluir en la lista blanca el dominio google-analytics.com según las estadísticas de PerimeterX.

"Normalmente, un skimmer digital (también conocido como Magecart) se ejecuta en servidores peligrosos en paraísos fiscales y su ubicación revela su nefasta intención", explicó Sansec en ese momento.

"Pero cuando una campaña de skimming se ejecuta completamente en servidores confiables de Google, muy pocos sistemas de seguridad la marcarán como" sospechosa ". Y lo más importante, las contramedidas populares como Content-Security-Policy (CSP) no funcionarán cuando un administrador el sitio confía en Google ".

"La CSP se inventó para limitar la ejecución de código que no es de confianza. Pero como prácticamente todo el mundo confía en Google, el modelo es defectuoso", dijo el director ejecutivo y fundador de Sansec. Willem de Groot también le dijo a BleepingComputer.