黑客滥用 Google Apps Script 绕过 CSP 来窃取信用卡信息
-
研究者发现攻击者正滥用 Google Apps Script 开发平台来窃取电子商务网站客户在在线购物时提交的信用卡信息。
Google Apps Script(也称为 Google Script)是一个应用程序开发平台,可让你集成所有使用的 Google Cloud 服务。
Google 为每个云服务提供了一长串 API。通过编写非常简单的 Google 应用程序,你可以在 Google 的众多服务中打开整个世界的附加功能。
你可以使用 Google Script 执行的一些操作包括:
在 Google 表格中创建自定义功能;
将 Google 表格或 Google 文档与 Gmail 集成;
创建可以使用 Google 协作平台部署的网络应用;
向 Google 文档添加自定义菜单;
使用 Google Analytics 数据在 Google 表格中创建 网络流量信息中心;
从 Google 表格或任何其他 Google 服务发送电子邮件;
由于 Google 服务都在云中,因此你可以从单个脚本编辑器创建 Google Apps Script。从该代码中,你可以使用适用于您使用的任何 Google 服务的 API,这创造了一种在大多数其他脚本平台中很难找到的灵活性。
攻击过程
他们正在使用 script.google.com 域通过恶意软件扫描引擎成功隐藏其恶意活动,并绕过内容安全策略(CSP)控件。
攻击者的攻击过程如下:在线商店会认为 Google Apps Script 域是受信任的,并有可能将其网站的 CSP 配置(阻止 Web 应用程序中不受信任的代码执行的安全标准)的所有 Google 子域列入白名单。
信用卡撇卡器(Magecart 脚本或支付卡撇卡器)是由网络犯罪组织(称为 Magecart 组)注入的基于 JavaScript 的脚本,它们是网络窃取(也称为电子窃取)攻击的一部分,经常被注入到被黑客入侵的在线商店中。
信用卡撇卡器是一种当信用卡在合法的金融交易中使用时,用来从带有磁条的信用卡上窃取信息的装置。一旦在该装置上收集到信息,撇卡器就可以用来复制信用卡,用于欺诈目的,或者收集到的信息可以用于不需要实体信用卡的在线和电话交易,仅用于信用卡上的信息。
部署后,这些脚本使他们可以收获被入侵商店的客户提交的付款和个人信息,并将其收集在他们控制下的服务器上。
Google Apps Script 域被用作渗透终端
安全研究人员埃里克 · 布兰德尔(Eric Brandel)在分析 Sansec 提供的早期违规检测数据时发现了这种新的付款信息盗窃策略,Sansec 是一家致力于打击数字盗版的网络安全公司。
正如研究者发现的那样,攻击者在电子商务网站中注入的恶意且模糊的撇渣脚本拦截了用户提交的付款信息。
使用 script [ . ] google [ . ] com 作为渗透终端,将从受感染的在线商店窃取的所有付款信息作为 base64 编码的 JSON 数据发送到 Google Apps Script 自定义应用。
到达 Google Apps Script 终端后,数据被转发到由攻击者控制的另一台服务器,它基于以色列的网站 analit [ . ] tech。
Sansec 说:
" 恶意软件域名 analit [ . ] tech 与先前发现的恶意软件域名 hotjar [ . ] host 和 pixelm [ . ] tech 都在同一天注册,它们也托管在同一网络上。"
这并不是第一次滥用此 Google 服务,FIN7 网络犯罪组织过去曾与 Google Sheets 和 Google Forms 服务一起使用该服务来进行恶意软件的命令和控制。
自 2015 年年中以来,FIN7(又名 Carbanak 或 Cobalt)使用 Carbanak 后门锁定了欧盟和美国公司的银行和销售点(PoS)终端。
Sansec 补充说:
" 这种新威胁表明,仅保护 Web 存储区而不与不受信任的域进行通信是不够的。电子商务经理必须首先确保攻击者不能注入未经授权的代码,服务器端恶意软件和漏洞监视对于任何现代安全策略都是必不可少的。"
Google Analytics 也被滥用来窃取信用卡信息
Google Analytics 是著名互联网公司 Google 为网站提供的数据统计服务。可以对目标网站进行访问数据统计和分析,并提供多种参数供网站拥有者使用。
Magecart 攻击还滥用了其他 Google 服务,攻击者使用 Google Analytics 平台从数十个在线商店窃取了付款信息。
更糟的是,攻击者还可以通过滥用 Google AnalyticsAPI 来规避 CSP,因为他们看到网络商店在其 CSP 配置中将 Google 的网络分析服务列入白名单以跟踪访问者。
正如 Sansec 和 PerimeterX 当时发现的那样,允许 Google Analytics 脚本而不是阻止基于注入的攻击,而是使攻击者能够利用它们来窃取和泄露数据。
这是使用专门用于编码被盗数据并以加密形式将其发送到攻击者的 Google Analytics 仪表板的 web skimmer 脚本完成的。Web skimmer,也被称之为 Magecart 攻击,它被评为了 2018 年最危险的安全威胁,而且这种威胁并不会在近期消失,2019 年还出现新型的 Web Skimming 攻击变种。目前,这种攻击主要针对的是支付数据,因为 Web Skimming 能够将任意信息填充进目标网站中,而 Magecart 组织会将业务从信用卡数据扩展到登录凭证以及其他敏感信息上。
根据 BuiltWith 提供的统计数据,目前有超过 2800 万个网站正在使用 Google 的 GA 网络分析服务,根据 PerimeterX 的统计,到 2020 年 3 月通过 HTTPArchive 扫描可访问的网站中有 17000 个网站将 google-analytics.com 域列入了白名单。
Sansec 当时解释说:" 通常,数字撇卡器(又名 Magecart)在避税天堂的躲避服务器上运行,其位置揭示了其攻击意图。但是,当攻击活动完全在受信任的 Google 服务器上运行时,很少有安全系统会将其标记为 " 可疑 "。而且更重要的是,当网站管理员信任 Google 时,诸如内容安全策略(CSP)之类的流行对策将起不到任何安全保护作用。"
Sansec 首席执行官兼创始人 Willem de Groot 告诉 BleepingComputer:
" 发明 CSP 是为了限制不可信代码的执行。但是,由于几乎所有人都信任 Google,因此该模型本身也就存在缺陷。"
