黑客濫用Google Apps Script 繞過CSP來竊取信用卡信息

gejigeji
研究者發(fā)現(xiàn)攻擊者正濫用Google Apps Script開發(fā)平臺來竊取電子商務(wù)網(wǎng)站客戶在在線購物時提交的信用卡信息。

111.jpeg

研究者發(fā)現(xiàn)攻擊者正濫用Google Apps Script開發(fā)平臺來竊取電子商務(wù)網(wǎng)站客戶在在線購物時提交的信用卡信息。

Google Apps Script(也稱為Google Script)是一個應(yīng)用程序開發(fā)平臺,可讓你集成所有使用的Google Cloud服務(wù)。

Google為每個云服務(wù)提供了一長串API。通過編寫非常簡單的Google應(yīng)用程序,你可以在Google的眾多服務(wù)中打開整個世界的附加功能。

你可以使用Google Script執(zhí)行的一些操作包括:

在Google表格中創(chuàng)建自定義功能;

將Google表格或Google文檔與Gmail集成;

創(chuàng)建可以使用Google協(xié)作平臺部署的網(wǎng)絡(luò)應(yīng)用;

向Google文檔添加自定義菜單;

使用Google Analytics數(shù)據(jù)在Google表格中創(chuàng)建網(wǎng)絡(luò)流量信息中心;

從Google表格或任何其他Google服務(wù)發(fā)送電子郵件;

由于Google服務(wù)都在云中,因此你可以從單個腳本編輯器創(chuàng)建Google Apps Script。從該代碼中,你可以使用適用于您使用的任何Google服務(wù)的API,這創(chuàng)造了一種在大多數(shù)其他腳本平臺中很難找到的靈活性。

攻擊過程

他們正在使用script.google.com域通過惡意軟件掃描引擎成功隱藏其惡意活動,并繞過內(nèi)容安全策略(CSP)控件。

攻擊者的攻擊過程如下:在線商店會認(rèn)為Google Apps Script域是受信任的,并有可能將其網(wǎng)站的CSP配置(阻止Web應(yīng)用程序中不受信任的代碼執(zhí)行的安全標(biāo)準(zhǔn))的所有Google子域列入白名單。

信用卡撇卡器(Magecart腳本或支付卡撇卡器)是由網(wǎng)絡(luò)犯罪組織(稱為Magecart組)注入的基于JavaScript的腳本,它們是網(wǎng)絡(luò)竊?。ㄒ卜Q為電子竊取)攻擊的一部分,經(jīng)常被注入到被黑客入侵的在線商店中。

信用卡撇卡器是一種當(dāng)信用卡在合法的金融交易中使用時,用來從帶有磁條的信用卡上竊取信息的裝置。一旦在該裝置上收集到信息,撇卡器就可以用來復(fù)制信用卡,用于欺詐目的,或者收集到的信息可以用于不需要實體信用卡的在線和電話交易,僅用于信用卡上的信息。

部署后,這些腳本使他們可以收獲被入侵商店的客戶提交的付款和個人信息,并將其收集在他們控制下的服務(wù)器上。

Google Apps Script域被用作滲透終端

安全研究人員埃里克·布蘭德爾(Eric Brandel)在分析Sansec提供的早期違規(guī)檢測數(shù)據(jù)時發(fā)現(xiàn)了這種新的付款信息盜竊策略,Sansec是一家致力于打擊數(shù)字盜版的網(wǎng)絡(luò)安全公司。

正如研究者發(fā)現(xiàn)的那樣,攻擊者在電子商務(wù)網(wǎng)站中注入的惡意且模糊的撇渣腳本攔截了用戶提交的付款信息。

使用script[.]google[.]com作為滲透終端,將從受感染的在線商店竊取的所有付款信息作為base64編碼的JSON數(shù)據(jù)發(fā)送到Google Apps Script自定義應(yīng)用。

到達(dá)Google Apps Script終端后,數(shù)據(jù)被轉(zhuǎn)發(fā)到由攻擊者控制的另一臺服務(wù)器,它基于以色列的網(wǎng)站analit[.]tech。

Sansec說:

“惡意軟件域名analit[.]tech與先前發(fā)現(xiàn)的惡意軟件域名hotjar[.]host和pixelm[.]tech都在同一天注冊,它們也托管在同一網(wǎng)絡(luò)上。”

22.png

這并不是第一次濫用此Google服務(wù),F(xiàn)IN7網(wǎng)絡(luò)犯罪組織過去曾與Google Sheets和Google Forms服務(wù)一起使用該服務(wù)來進(jìn)行惡意軟件的命令和控制。

自2015年年中以來,F(xiàn)IN7(又名Carbanak或Cobalt)使用Carbanak后門鎖定了歐盟和美國公司的銀行和銷售點(PoS)終端。

Sansec補充說:

“這種新威脅表明,僅保護(hù)Web存儲區(qū)而不與不受信任的域進(jìn)行通信是不夠的。電子商務(wù)經(jīng)理必須首先確保攻擊者不能注入未經(jīng)授權(quán)的代碼,服務(wù)器端惡意軟件和漏洞監(jiān)視對于任何現(xiàn)代安全策略都是必不可少的。”

Google Analytics也被濫用來竊取信用卡信息

Google Analytics是著名互聯(lián)網(wǎng)公司Google為網(wǎng)站提供的數(shù)據(jù)統(tǒng)計服務(wù)??梢詫δ繕?biāo)網(wǎng)站進(jìn)行訪問數(shù)據(jù)統(tǒng)計和分析,并提供多種參數(shù)供網(wǎng)站擁有者使用。

Magecart攻擊還濫用了其他Google服務(wù),攻擊者使用Google Analytics平臺從數(shù)十個在線商店竊取了付款信息。

更糟的是,攻擊者還可以通過濫用Google AnalyticsAPI來規(guī)避CSP,因為他們看到網(wǎng)絡(luò)商店在其CSP配置中將Google的網(wǎng)絡(luò)分析服務(wù)列入白名單以跟蹤訪問者。

正如Sansec和PerimeterX當(dāng)時發(fā)現(xiàn)的那樣,允許Google Analytics腳本而不是阻止基于注入的攻擊,而是使攻擊者能夠利用它們來竊取和泄露數(shù)據(jù)。

這是使用專門用于編碼被盜數(shù)據(jù)并以加密形式將其發(fā)送到攻擊者的Google Analytics儀表板的web skimmer腳本完成的。Web skimmer,也被稱之為Magecart攻擊,它被評為了2018年最危險的安全威脅,而且這種威脅并不會在近期消失,2019年還出現(xiàn)新型的Web Skimming攻擊變種。目前,這種攻擊主要針對的是支付數(shù)據(jù),因為Web Skimming能夠?qū)⑷我庑畔⑻畛溥M(jìn)目標(biāo)網(wǎng)站中,而Magecart組織會將業(yè)務(wù)從信用卡數(shù)據(jù)擴(kuò)展到登錄憑證以及其他敏感信息上。

根據(jù)BuiltWith提供的統(tǒng)計數(shù)據(jù),目前有超過2800萬個網(wǎng)站正在使用Google的GA網(wǎng)絡(luò)分析服務(wù),根據(jù)PerimeterX的統(tǒng)計,到2020年3月通過HTTPArchive掃描可訪問的網(wǎng)站中有17000個網(wǎng)站將google-analytics.com域列入了白名單。

Sansec當(dāng)時解釋說:“通常,數(shù)字撇卡器(又名Magecart)在避稅天堂的躲避服務(wù)器上運行,其位置揭示了其攻擊意圖。但是,當(dāng)攻擊活動完全在受信任的Google服務(wù)器上運行時,很少有安全系統(tǒng)會將其標(biāo)記為“可疑”。而且更重要的是,當(dāng)網(wǎng)站管理員信任Google時,諸如內(nèi)容安全策略(CSP)之類的流行對策將起不到任何安全保護(hù)作用。”

Sansec首席執(zhí)行官兼創(chuàng)始人Willem de Groot告訴BleepingComputer:

“發(fā)明CSP是為了限制不可信代碼的執(zhí)行。但是,由于幾乎所有人都信任Google,因此該模型本身也就存在缺陷。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論