المهاجمون يسيئون استخدام منصة تطوير تطبيقات الأعمال Google Apps Script لسرقة معلومات بطاقة الائتمان المقدمة من عملاء مواقع التجارة الإلكترونية عند إجراء عمليات شراء عبر الإنترنت.
تم الإبلاغ عن ذلك من قبل الباحث الأمني إريك براندل ، الذي اكتشف ذلك أثناء تحليل بيانات الكشف المبكر المقدمة من Sansec ، وهي شركة للأمن السيبراني متخصصة في مكافحة المسح الرقمي.
يستخدم المتسللون نطاق script.google.com لأغراضهم وبالتالي ينجحون في إخفاء نشاطهم الضار من الحلول الأمنية وتجاوز سياسة أمان المحتوى (CSP). والحقيقة هي أن المتاجر عبر الإنترنت عادةً ما تعتبر مجال Google Apps Script موثوقًا به وغالبًا ما تقوم بإدراج جميع نطاقات Google الفرعية في القائمة البيضاء.
يقول براندل إنه وجد نصًا برمجيًا لمقشطة الويب قدمه المهاجمون على مواقع المتاجر عبر الإنترنت. مثل أي برنامج نصي آخر من MageCart ، فإنه يعترض معلومات الدفع الخاصة بالمستخدمين.
ما جعل هذا البرنامج النصي مختلفًا عن الحلول المماثلة الأخرى هو أن جميع معلومات الدفع المسروقة تم نقلها على هيئة JSON بترميز base64 إلى Google Apps Script ، وتم استخدام النطاق النصي [.] Google [.] Com لاستخراج البيانات المسروقة. بعد ذلك فقط ، تم نقل المعلومات إلى تحليل المجال الذي يسيطر عليه المهاجم [.] Tech.
يلاحظ الباحث أن "تحليل المجال الخبيث [.] Tech تم تسجيله في نفس اليوم مثل المجالات الخبيثة المكتشفة سابقًا hotjar [.] Host و pixelm [.] Tech ، والتي يتم استضافتها على نفس الشبكة".
يجب القول إن هذه ليست المرة الأولى التي يسيء فيها المتسللون استخدام خدمات Google بشكل عام و Google Apps Script بشكل خاص. على سبيل المثال ، في عام 2017 أصبح معروفًا أن مجموعة Carbanak تستخدم خدمات Google (Google Apps Script و Google Sheets و Google Forms) كأساس لبنية C&C الخاصة بها. أيضًا في عام 2020 ، تم الإبلاغ عن إساءة استخدام منصة Google Analytics أيضًا في هجمات من نوع MageCart.
اقرأ أيضا: