Image: Google

Les attaquants abusent de la plate-forme de développement d’applications commerciales Apps Script de Google pour voler des informations de carte de crédit soumises par des clients de sites Web de commerce électronique lors de leurs achats en ligne.

Ils utilisent le script.google.com domaine pour masquer avec succès leur activité malveillante des moteurs d’analyse des logiciels malveillants et contourner les contrôles de stratégie de sécurité du contenu (CSP).

Ils tirent parti du fait que les magasins en ligne considéreraient le domaine Apps Script de Google comme approuvé et pourraient potentiellement mettre en liste blanche tous les sous-domaines Google dans la configuration CSP de leurs sites (une norme de sécurité pour bloquer l’exécution de code non approuvé dans les applications Web).

Les skimmers de cartes de crédit (scripts Magecart ou skimmers de cartes de paiement) sont des scripts JavaScript injectés par des groupes de cybercriminalité connus sous le nom de groupes Magecart injectés dans des magasins en ligne piratés dans le cadre d’attaques d’écrémage Web (également appelées e-skimming).

Une fois déployés, les scripts leur permettent de récolter le paiement et les informations personnelles soumises par les clients des boutiques piratées et de les collecter sur des serveurs sous leur contrôle.

Domaine Google Apps Script utilisé comme point de terminaison d’exfiltration

Cette nouvelle tactique de vol d’informations de paiement a été découverte par le chercheur en sécurité Eric Brandel lors de l’analyse des données de détection précoce des violations fournies par Sansec, une société de cybersécurité spécialisée dans la lutte contre l’écrémage numérique.

Comme il l’a découvert, le script de skimmer malveillant et obscurci injecté par les attaquants dans les sites de commerce électronique a intercepté les informations de paiement soumises par les utilisateurs.

Toutes les informations de paiement volées dans la boutique en ligne compromise ont été envoyées sous forme de données JSON encodées en base64 à une application personnalisée Google Apps Script, à l’aide d’un script[.]Google[.]com comme point de terminaison d’exfiltration.

Après avoir atteint le point de terminaison de Google Apps Script, les données ont été transmises à un autre serveur – site basé en Israël[.]tech – contrôlé par les attaquants.

« L’analyse du domaine du malware[.]tech a été enregistré le même jour que précédemment …