WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google Apps Script bị lạm dụng để đánh cắp thẻ tín dụng, qua mặt CSP
Những kẻ tấn công lạm dụng nền tảng phát triển ứng dụng kinh doanh Apps Script của Google để đánh cắp thông tin thẻ tín dụng của khách hàng các trang web thương mại điện tử khi mua sắm trực tuyến.
Tin tặc sử dụng miền script.google.com để ẩn hoạt động độc hại khỏi các công cụ quét, đồng thời qua mặt các kiểm soát của Chính sách bảo mật nội dung (CSP).
Chúng lợi dụng thực tế là các cửa hàng trực tuyến sẽ coi miền Apps Script của Google là đáng tin cậy, và có khả năng đưa tất cả các miền phụ của Google vào danh sách trắng trong cấu hình CSP trên trang web của mình.
Credit card skimmer (tập lệnh Magecart) là những tập lệnh dựa trên JavaScript thường được các nhóm tội phạm mạng sử dụng để xâm nhập vào hệ thống các cửa hàng trực tuyến trong các chiến dịch tấn công web skimming (còn được gọi là e-skimming).
Sau khi được triển khai, các tập lệnh này cho phép hacker thu thập dữ liệu liên quan đến các khoản thanh toán và thông tin cá nhân của khách hàng trên các cửa hàng bị tấn công, sau đó gửi đến máy chủ chịu sự kiểm soát của chúng.
Miền Google Apps Script được sử dụng làm điểm lọc cuối
Chiến thuật đánh cắp thông tin thanh toán mới này được phát hiện bởi nhà nghiên cứu Eric Brandel.
Eric Brandel phát hiện tập lệnh skimmer độc hại và khó hiểu được kẻ tấn công đưa vào các trang web thương mại điện tử đã chặn bắt thông tin thanh toán do người dùng gửi. Tất cả thông tin thanh toán bị đánh cắp từ các cửa hàng trực tuyến này sau đó được gửi dưới dạng dữ liệu JSON mã hóa base64 tới ứng dụng tùy chỉnh Google Apps Script, sử dụng script[.]google[.]com làm điểm lọc cuối (exfiltration endpoint).
Sau khi đến điểm cuối Google Apps Script, dữ liệu được chuyển tiếp tới một máy chủ khác - analit[.]tech có trụ sở tại Israel - do kẻ tấn công kiểm soát.
Đây không phải là lần đầu tiên Google Apps Script bị lạm dụng cho các mục đích độc hại. Trước đây, nhóm tội phạm mạng FIN7 cũng đã từng sử dụng dịch vụ này, cùng với Google Sheets and Google Forms để ra lệnh và kiểm soát phần mềm độc hại.
Mối đe dọa mới này cho thấy việc chỉ bảo vệ các website thương mai điện tử trong hoạt động tương tác với những miền không đáng tin cậy là không đủ. Các nhà quản lý thương mại điện tử cần đảm bảo rằng những kẻ tấn công không thể đưa mã trái phép vào nền tảng của họ ngay từ đầu. Giám sát lỗ hổng và phần mềm độc hại từ phía máy chủ là điều cần thiết trong bất kỳ chính sách bảo mật hiện đại nào.
Google Analytics cũng bị lạm dụng để đánh cắp thẻ tín dụng
Các dịch vụ khác của Google cũng bị lạm dụng trong các cuộc tấn công Magecart, trong đó nền tảng Google Analytics đã bị sử dụng để lấy cắp thông tin thanh toán từ hàng chục cửa hàng trực tuyến.
Điều khiến các cuộc tấn công trở nên tồi tệ hơn là bằng cách lạm dụng API Google Analytics, kẻ xấu cũng có thể qua mặt CSP, khi thấy các cửa hàng web đưa dịch vụ phân tích web của Google vào danh sách trắng trong cấu hình CSP để theo dõi khách truy cập.
Như Sansec và PerimeterX phát hiện vào thời điểm đó, thay vì chặn các cuộc tấn công tiêm nhiễm, việc cho phép các tập lệnh Google Analytics cho phép kẻ tấn công sử dụng chúng để lấy cắp và trích xuất dữ liệu.
Điều này được thực hiện bằng cách sử dụng tập lệnh web skimmer được thiết kế đặc biệt để mã hóa dữ liệu bị đánh cắp và gửi dữ liệu đó đến trang tổng quan Google Analytics của kẻ tấn công ở dạng mã hóa.
Dựa trên số liệu thống kê do BuiltWith cung cấp, hơn 28 triệu trang web hiện đang sử dụng dịch vụ phân tích web GA của Google, với 17.000 trang web có thể truy cập được thông qua quét HTTPArchive vào tháng 3/2020, đưa miền google-analytics.com vào danh sách trắng theo thống kê của PerimeterX.
Tin tặc sử dụng miền script.google.com để ẩn hoạt động độc hại khỏi các công cụ quét, đồng thời qua mặt các kiểm soát của Chính sách bảo mật nội dung (CSP).
Chúng lợi dụng thực tế là các cửa hàng trực tuyến sẽ coi miền Apps Script của Google là đáng tin cậy, và có khả năng đưa tất cả các miền phụ của Google vào danh sách trắng trong cấu hình CSP trên trang web của mình.
Credit card skimmer (tập lệnh Magecart) là những tập lệnh dựa trên JavaScript thường được các nhóm tội phạm mạng sử dụng để xâm nhập vào hệ thống các cửa hàng trực tuyến trong các chiến dịch tấn công web skimming (còn được gọi là e-skimming).
Sau khi được triển khai, các tập lệnh này cho phép hacker thu thập dữ liệu liên quan đến các khoản thanh toán và thông tin cá nhân của khách hàng trên các cửa hàng bị tấn công, sau đó gửi đến máy chủ chịu sự kiểm soát của chúng.
Miền Google Apps Script được sử dụng làm điểm lọc cuối
Chiến thuật đánh cắp thông tin thanh toán mới này được phát hiện bởi nhà nghiên cứu Eric Brandel.
Eric Brandel phát hiện tập lệnh skimmer độc hại và khó hiểu được kẻ tấn công đưa vào các trang web thương mại điện tử đã chặn bắt thông tin thanh toán do người dùng gửi. Tất cả thông tin thanh toán bị đánh cắp từ các cửa hàng trực tuyến này sau đó được gửi dưới dạng dữ liệu JSON mã hóa base64 tới ứng dụng tùy chỉnh Google Apps Script, sử dụng script[.]google[.]com làm điểm lọc cuối (exfiltration endpoint).
Sau khi đến điểm cuối Google Apps Script, dữ liệu được chuyển tiếp tới một máy chủ khác - analit[.]tech có trụ sở tại Israel - do kẻ tấn công kiểm soát.
Đây không phải là lần đầu tiên Google Apps Script bị lạm dụng cho các mục đích độc hại. Trước đây, nhóm tội phạm mạng FIN7 cũng đã từng sử dụng dịch vụ này, cùng với Google Sheets and Google Forms để ra lệnh và kiểm soát phần mềm độc hại.
Mối đe dọa mới này cho thấy việc chỉ bảo vệ các website thương mai điện tử trong hoạt động tương tác với những miền không đáng tin cậy là không đủ. Các nhà quản lý thương mại điện tử cần đảm bảo rằng những kẻ tấn công không thể đưa mã trái phép vào nền tảng của họ ngay từ đầu. Giám sát lỗ hổng và phần mềm độc hại từ phía máy chủ là điều cần thiết trong bất kỳ chính sách bảo mật hiện đại nào.
Google Analytics cũng bị lạm dụng để đánh cắp thẻ tín dụng
Các dịch vụ khác của Google cũng bị lạm dụng trong các cuộc tấn công Magecart, trong đó nền tảng Google Analytics đã bị sử dụng để lấy cắp thông tin thanh toán từ hàng chục cửa hàng trực tuyến.
Điều khiến các cuộc tấn công trở nên tồi tệ hơn là bằng cách lạm dụng API Google Analytics, kẻ xấu cũng có thể qua mặt CSP, khi thấy các cửa hàng web đưa dịch vụ phân tích web của Google vào danh sách trắng trong cấu hình CSP để theo dõi khách truy cập.
Như Sansec và PerimeterX phát hiện vào thời điểm đó, thay vì chặn các cuộc tấn công tiêm nhiễm, việc cho phép các tập lệnh Google Analytics cho phép kẻ tấn công sử dụng chúng để lấy cắp và trích xuất dữ liệu.
Điều này được thực hiện bằng cách sử dụng tập lệnh web skimmer được thiết kế đặc biệt để mã hóa dữ liệu bị đánh cắp và gửi dữ liệu đó đến trang tổng quan Google Analytics của kẻ tấn công ở dạng mã hóa.
Dựa trên số liệu thống kê do BuiltWith cung cấp, hơn 28 triệu trang web hiện đang sử dụng dịch vụ phân tích web GA của Google, với 17.000 trang web có thể truy cập được thông qua quét HTTPArchive vào tháng 3/2020, đưa miền google-analytics.com vào danh sách trắng theo thống kê của PerimeterX.
Theo BleepingComputer