Penyerang menyalahgunakan platform pengembangan aplikasi bisnis Skrip Google Apps untuk mencuri informasi kartu kredit yang diberikan oleh pelanggan situs web e-niaga saat melakukan pembelian online.
Ini dilaporkan oleh peneliti keamanan Eric Brandel, yang menemukan ini saat menganalisis data deteksi dini yang disediakan oleh Sansec, sebuah perusahaan keamanan siber yang berspesialisasi dalam memerangi pemindaian digital.
Peretas menggunakan domain script.google.com untuk tujuan mereka dan dengan demikian berhasil menyembunyikan aktivitas jahat mereka dari solusi keamanan dan melewati Kebijakan Keamanan Konten (CSP). Faktanya adalah bahwa toko online biasanya menganggap domain Google Apps Script dapat diandalkan dan sering kali memasukkan semua subdomain Google ke dalam daftar putih.
Brandel mengatakan bahwa dia menemukan skrip web skimmer yang diperkenalkan oleh penyerang di situs web toko online. Seperti skrip MageCart lainnya, ini mencegat informasi pembayaran pengguna.
Apa yang membuat skrip ini berbeda dari solusi serupa lainnya adalah bahwa semua informasi pembayaran yang dicuri dikirim sebagai JSON berenkode base64 ke Skrip Google Apps, dan domain skrip [.] Google [.] Com digunakan untuk mengekstrak data yang dicuri. Baru setelah itu, informasi tersebut ditransfer ke domain yang dikontrol penyerang analit [.] Tech.
"Domain berbahaya analit [.] Tech didaftarkan pada hari yang sama dengan domain berbahaya yang sebelumnya terdeteksi hotjar [.] Host dan pixelm [.] Tech, yang dihosting di jaringan yang sama," catat peneliti.
Harus dikatakan bahwa ini bukan pertama kalinya peretas menyalahgunakan layanan Google pada umumnya dan Google Apps Script pada khususnya. Misalnya, pada tahun 2017 diketahui bahwa grup Carbanak menggunakan layanan Google (Google Apps Script, Google Sheets, dan Google Forms) sebagai dasar infrastruktur C&C-nya. Juga di tahun 2020, dilaporkan bahwa platform Google Analytics juga disalahgunakan untuk serangan tipe MageCart.
Baca juga: