信息化觀察網(wǎng)

研究者發(fā)現(xiàn)攻擊者正濫用Google Apps Script開(kāi)發(fā)平臺(tái)來(lái)竊取電子商務(wù)網(wǎng)站客戶在在線購(gòu)物時(shí)提交的信用卡信息。

Google Apps Script（也稱為Google Script）是一個(gè)應(yīng)用程序開(kāi)發(fā)平臺(tái)，可讓你集成所有使用的Google Cloud服務(wù)。

Google為每個(gè)云服務(wù)提供了一長(zhǎng)串API。通過(guò)編寫(xiě)非常簡(jiǎn)單的Google應(yīng)用程序，你可以在Google的眾多服務(wù)中打開(kāi)整個(gè)世界的附加功能。

你可以使用Google Script執(zhí)行的一些操作包括：

在Google表格中創(chuàng)建自定義功能；

將Google表格或Google文檔與Gmail集成；

創(chuàng)建可以使用Google協(xié)作平臺(tái)部署的網(wǎng)絡(luò)應(yīng)用；

向Google文檔添加自定義菜單；

使用Google Analytics數(shù)據(jù)在Google表格中創(chuàng)建網(wǎng)絡(luò)流量信息中心；

從Google表格或任何其他Google服務(wù)發(fā)送電子郵件；

由于Google服務(wù)都在云中，因此你可以從單個(gè)腳本編輯器創(chuàng)建Google Apps Script。從該代碼中，你可以使用適用于您使用的任何Google服務(wù)的API，這創(chuàng)造了一種在大多數(shù)其他腳本平臺(tái)中很難找到的靈活性。

攻擊過(guò)程

他們正在使用script.google.com域通過(guò)惡意軟件掃描引擎成功隱藏其惡意活動(dòng)，并繞過(guò)內(nèi)容安全策略（CSP）控件。

攻擊者的攻擊過(guò)程如下：在線商店會(huì)認(rèn)為Google Apps Script域是受信任的，并有可能將其網(wǎng)站的CSP配置（阻止Web應(yīng)用程序中不受信任的代碼執(zhí)行的安全標(biāo)準(zhǔn)）的所有Google子域列入白名單。

信用卡撇卡器（Magecart腳本或支付卡撇卡器）是由網(wǎng)絡(luò)犯罪組織（稱為Magecart組）注入的基于JavaScript的腳本，它們是網(wǎng)絡(luò)竊?。ㄒ卜Q為電子竊?。┕舻囊徊糠?，經(jīng)常被注入到被黑客入侵的在線商店中。

信用卡撇卡器是一種當(dāng)信用卡在合法的金融交易中使用時(shí)，用來(lái)從帶有磁條的信用卡上竊取信息的裝置。一旦在該裝置上收集到信息，撇卡器就可以用來(lái)復(fù)制信用卡，用于欺詐目的，或者收集到的信息可以用于不需要實(shí)體信用卡的在線和電話交易，僅用于信用卡上的信息。

部署后，這些腳本使他們可以收獲被入侵商店的客戶提交的付款和個(gè)人信息，并將其收集在他們控制下的服務(wù)器上。

Google Apps Script域被用作滲透終端

安全研究人員埃里克·布蘭德?tīng)枺‥ric Brandel）在分析Sansec提供的早期違規(guī)檢測(cè)數(shù)據(jù)時(shí)發(fā)現(xiàn)了這種新的付款信息盜竊策略，Sansec是一家致力于打擊數(shù)字盜版的網(wǎng)絡(luò)安全公司。

正如研究者發(fā)現(xiàn)的那樣，攻擊者在電子商務(wù)網(wǎng)站中注入的惡意且模糊的撇渣腳本攔截了用戶提交的付款信息。

使用script[.]google[.]com作為滲透終端，將從受感染的在線商店竊取的所有付款信息作為base64編碼的JSON數(shù)據(jù)發(fā)送到Google Apps Script自定義應(yīng)用。

到達(dá)Google Apps Script終端后，數(shù)據(jù)被轉(zhuǎn)發(fā)到由攻擊者控制的另一臺(tái)服務(wù)器，它基于以色列的網(wǎng)站analit[.]tech。

Sansec說(shuō)：

“惡意軟件域名analit[.]tech與先前發(fā)現(xiàn)的惡意軟件域名hotjar[.]host和pixelm[.]tech都在同一天注冊(cè)，它們也托管在同一網(wǎng)絡(luò)上。”

這并不是第一次濫用此Google服務(wù)，F(xiàn)IN7網(wǎng)絡(luò)犯罪組織過(guò)去曾與Google Sheets和Google Forms服務(wù)一起使用該服務(wù)來(lái)進(jìn)行惡意軟件的命令和控制。

自2015年年中以來(lái)，F(xiàn)IN7（又名Carbanak或Cobalt）使用Carbanak后門鎖定了歐盟和美國(guó)公司的銀行和銷售點(diǎn)（PoS）終端。

Sansec補(bǔ)充說(shuō)：

“這種新威脅表明，僅保護(hù)Web存儲(chǔ)區(qū)而不與不受信任的域進(jìn)行通信是不夠的。電子商務(wù)經(jīng)理必須首先確保攻擊者不能注入未經(jīng)授權(quán)的代碼，服務(wù)器端惡意軟件和漏洞監(jiān)視對(duì)于任何現(xiàn)代安全策略都是必不可少的。”

Google Analytics也被濫用來(lái)竊取信用卡信息

Google Analytics是著名互聯(lián)網(wǎng)公司Google為網(wǎng)站提供的數(shù)據(jù)統(tǒng)計(jì)服務(wù)?？梢詫?duì)目標(biāo)網(wǎng)站進(jìn)行訪問(wèn)數(shù)據(jù)統(tǒng)計(jì)和分析，并提供多種參數(shù)供網(wǎng)站擁有者使用。

Magecart攻擊還濫用了其他Google服務(wù)，攻擊者使用Google Analytics平臺(tái)從數(shù)十個(gè)在線商店竊取了付款信息。

更糟的是，攻擊者還可以通過(guò)濫用Google AnalyticsAPI來(lái)規(guī)避CSP，因?yàn)樗麄兛吹骄W(wǎng)絡(luò)商店在其CSP配置中將Google的網(wǎng)絡(luò)分析服務(wù)列入白名單以跟蹤訪問(wèn)者。

正如Sansec和PerimeterX當(dāng)時(shí)發(fā)現(xiàn)的那樣，允許Google Analytics腳本而不是阻止基于注入的攻擊，而是使攻擊者能夠利用它們來(lái)竊取和泄露數(shù)據(jù)。

這是使用專門用于編碼被盜數(shù)據(jù)并以加密形式將其發(fā)送到攻擊者的Google Analytics儀表板的web skimmer腳本完成的。Web skimmer，也被稱之為Magecart攻擊，它被評(píng)為了2018年最危險(xiǎn)的安全威脅，而且這種威脅并不會(huì)在近期消失，2019年還出現(xiàn)新型的Web Skimming攻擊變種。目前，這種攻擊主要針對(duì)的是支付數(shù)據(jù)，因?yàn)閃eb Skimming能夠?qū)⑷我庑畔⑻畛溥M(jìn)目標(biāo)網(wǎng)站中，而Magecart組織會(huì)將業(yè)務(wù)從信用卡數(shù)據(jù)擴(kuò)展到登錄憑證以及其他敏感信息上。

根據(jù)BuiltWith提供的統(tǒng)計(jì)數(shù)據(jù)，目前有超過(guò)2800萬(wàn)個(gè)網(wǎng)站正在使用Google的GA網(wǎng)絡(luò)分析服務(wù)，根據(jù)PerimeterX的統(tǒng)計(jì)，到2020年3月通過(guò)HTTPArchive掃描可訪問(wèn)的網(wǎng)站中有17000個(gè)網(wǎng)站將google-analytics.com域列入了白名單。

Sansec當(dāng)時(shí)解釋說(shuō)：“通常，數(shù)字撇卡器（又名Magecart）在避稅天堂的躲避服務(wù)器上運(yùn)行，其位置揭示了其攻擊意圖。但是，當(dāng)攻擊活動(dòng)完全在受信任的Google服務(wù)器上運(yùn)行時(shí)，很少有安全系統(tǒng)會(huì)將其標(biāo)記為“可疑”。而且更重要的是，當(dāng)網(wǎng)站管理員信任Google時(shí)，諸如內(nèi)容安全策略（CSP）之類的流行對(duì)策將起不到任何安全保護(hù)作用。”

Sansec首席執(zhí)行官兼創(chuàng)始人Willem de Groot告訴BleepingComputer：

“發(fā)明CSP是為了限制不可信代碼的執(zhí)行。但是，由于幾乎所有人都信任Google，因此該模型本身也就存在缺陷。”