最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 黑客滥用Google Apps Script 绕过CSP来窃取信用卡信息

    研究者发现攻击者正滥用Google Apps Script开发平台来窃取电子商务网站客户在在线购物时提交的信用卡信息。

    Google Apps Script(也称为Google Script)是一个应用程序开发平台,可让你集成所有使用的Google Cloud服务。

    Google为每个云服务提供了一长串API。通过编写非常简单的Google应用程序,你可以在Google的众多服务中打开整个世界的附加功能。

    你可以使用Google Script执行的一些操作包括:

    • 在Google表格中创建自定义功能;
    • 将Google表格或Google文档与Gmail集成;
    • 创建可以使用Google协作平台部署的网络应用;
    • 向Google文档添加自定义菜单;
    • 使用Google Analytics数据在Google表格中创建 网络流量信息中心;
    • 从Google表格或任何其他Google服务发送电子邮件;

    由于Google服务都在云中,因此你可以从单个脚本编辑器创建Google Apps Script。从该代码中,你可以使用适用于您使用的任何Google服务的API,这创造了一种在大多数其他脚本平台中很难找到的灵活性。

    攻击过程

    他们正在使用script.google.com域通过恶意软件扫描引擎成功隐藏其恶意活动,并绕过内容安全策略(CSP)控件。

    攻击者的攻击过程如下:在线商店会认为Google Apps Script域是受信任的,并有可能将其网站的CSP配置(阻止Web应用程序中不受信任的代码执行的安全标准)的所有Google子域列入白名单。

    信用卡撇卡器(Magecart脚本或支付卡撇卡器)是由网络犯罪组织(称为Magecart组)注入的基于JavaScript的脚本,它们是网络窃取(也称为电子窃取)攻击的一部分,经常被注入到被黑客入侵的在线商店中。

    信用卡撇卡器是一种当信用卡在合法的金融交易中使用时,用来从带有磁条的信用卡上窃取信息的装置。一旦在该装置上收集到信息,撇卡器就可以用来复制信用卡,用于欺诈目的,或者收集到的信息可以用于不需要实体信用卡的在线和电话交易,仅用于信用卡上的信息。

    部署后,这些脚本使他们可以收获被入侵商店的客户提交的付款和个人信息,并将其收集在他们控制下的服务器上。

    Google Apps Script域被用作渗透终端

    安全研究人员埃里克·布兰德尔(Eric Brandel)在分析Sansec提供的早期违规检测数据时发现了这种新的付款信息盗窃策略,Sansec是一家致力于打击数字盗版的网络安全公司。

    正如研究者发现的那样,攻击者在电子商务网站中注入的恶意且模糊的撇渣脚本拦截了用户提交的付款信息。

    使用script[.]google[.]com作为渗透终端,将从受感染的在线商店窃取的所有付款信息作为base64编码的JSON数据发送到Google Apps Script自定义应用。

    到达Google Apps Script终端后,数据被转发到由攻击者控制的另一台服务器,它基于以色列的网站analit[.]tech。

    Sansec说:

    “恶意软件域名analit[.]tech与先前发现的恶意软件域名 hotjar[.]host 和pixelm[.]tech都在同一天注册,它们也托管在同一网络上。”

    黑客滥用Google Apps Script 绕过CSP来窃取信用卡信息

    这并不是第一次滥用此Google服务,FIN7网络犯罪组织过去曾与Google Sheets和Google Forms服务一起使用该服务来进行恶意软件的命令和控制。

    自2015年年中以来,FIN7(又名Carbanak或Cobalt)使用Carbanak后门锁定了欧盟和美国公司的银行和销售点(PoS)终端。

    Sansec补充说:

    “这种新威胁表明,仅保护Web存储区而不与不受信任的域进行通信是不够的。电子商务经理必须首先确保攻击者不能注入未经授权的代码,服务器端恶意软件和漏洞监视对于任何现代安全策略都是必不可少的。”

    Google Analytics也被滥用来窃取信用卡信息

    Google Analytics是著名互联网公司Google为网站提供的数据统计服务。可以对目标网站进行访问数据统计和分析,并提供多种参数供网站拥有者使用。

    Magecart攻击还滥用了其他Google服务,攻击者使用Google Analytics平台从数十个在线商店窃取了付款信息。

    更糟的是,攻击者还可以通过滥用Google AnalyticsAPI来规避CSP,因为他们看到网络商店在其CSP配置中将Google的网络分析服务列入白名单以跟踪访问者。

    正如Sansec和PerimeterX当时发现的那样,允许Google Analytics脚本而不是阻止基于注入的攻击,而是使攻击者能够利用它们来窃取和泄露数据。

    这是使用专门用于编码被盗数据并以加密形式将其发送到攻击者的Google Analytics仪表板的web skimmer脚本完成的。Web skimmer,也被称之为Magecart攻击,它被评为了2018年最危险的安全威胁,而且这种威胁并不会在近期消失,2019年还出现新型的Web Skimming攻击变种。目前,这种攻击主要针对的是支付数据,因为Web Skimming能够将任意信息填充进目标网站中,而Magecart组织会将业务从信用卡数据扩展到登录凭证以及其他敏感信息上。

    根据BuiltWith提供的统计数据,目前有超过2800万个网站正在使用Google的GA网络分析服务,根据PerimeterX的统计,到2020年3月通过HTTPArchive扫描可访问的网站中有17000个网站将google-analytics.com域列入了白名单。

    Sansec当时解释说:“通常,数字撇卡器(又名Magecart)在避税天堂的躲避服务器上运行,其位置揭示了其攻击意图。但是,当攻击活动完全在受信任的Google服务器上运行时,很少有安全系统会将其标记为“可疑”。而且更重要的是,当网站管理员信任Google时,诸如内容安全策略(CSP)之类的流行对策将起不到任何安全保护作用。”

    Sansec首席执行官兼创始人Willem de Groot告诉BleepingComputer:

    “发明CSP是为了限制不可信代码的执行。但是,由于几乎所有人都信任Google,因此该模型本身也就存在缺陷。”

    本文翻译自:

    https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 黑客滥用Google Apps Script 绕过CSP来窃取信用卡信息

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 940会员总数(位)
    • 39853资源总数(个)
    • 58本周发布(个)
    • 12 今日发布(个)
    • 331稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情