Google Apps Script est abusé par des pirates informatiques

0

Des hackers abusent de la plate-forme de développement d’applications commerciales Apps Script de Google pour voler des informations de carte de paiement soumises par des clients de sites Web de commerce électronique lors de leurs achats en ligne.

Ils utilisent le domaine script.google.com pour masquer avec succès leur activité malveillante .. et contourner les contrôles de politique de sécurité du contenu (CSP).

Ils tirent parti du fait que les magasins en ligne considéreraient le domaine Apps Script de Google comme approuvé et pourraient potentiellement mettre en liste blanche tous les sous-domaines Google dans la configuration CSP de leurs sites (une norme de sécurité pour bloquer l’exécution de code non approuvé dans les applications Web).

Les skimmers de cartes de paiement (scripts Magecart ou skimmers de cartes de paiement) sont des scripts JavaScript créés par des groupes de cybercriminels connus sous le nom de groupes Magecart et sont injectés dans des magasins en ligne piratés dans le cadre d’attaques de skimming Web (également appelées e-skimming).

Une fois déployés, les scripts leur permettent de récolter les informations de paiement et les informations personnelles soumises par les clients des boutiques piratées et de les collecter sur des serveurs qu’ils contrôlent.

Le domaine de Google Apps Script est utilisé comme point de terminaison d’exfiltration

Cette nouvelle tactique de vol d’informations de paiement a été découverte par le chercheur en sécurité Eric Brandel lors de l’analyse des données de détection précoce des violations fournies par Sansec, une société de cybersécurité spécialisée dans la lutte contre le skimming numérique.

Comme il l’a découvert, le script de skimming malveillant et obscurci injecté par les attaquants dans les sites de commerce électronique a intercepté les informations de paiement soumises par les utilisateurs.

Toutes les informations de paiement volées dans la boutique en ligne compromise ont été envoyées sous forme de données JSON encodées en base64 à une application personnalisée de script Google Apps, en utilisant script[.]google[.]com comme point de terminaison d’exfiltration.

Après avoir atteint le point de terminaison de Google Apps Script, les données ont été transmises à un autre serveur – le site analit[.]tech basé en Israël – contrôlé par les attaquants.

«Le domaine de malware analit[.]tech a été enregistré le même jour que les domaines de malwares précédemment découverts hotjar[.]host et pixelm[.]tech, qui sont également hébergés sur le même réseau», a déclaré Sansec.

google apps script

Ce n’est pas la première fois que ce service Google fait l’objet d’abus, le groupe de cybercriminels FIN7 l’utilisait par le passé avec les services Google Sheets et Google Forms pour mener des actions de commande et de contrôle de logiciels malveillants.

Depuis mi-2015, FIN7 (alias Carbanak ou Cobalt) cible les banques et les terminaux de points de vente des entreprises européennes et américaines en utilisant la porte dérobée Carbanak.

“Cette nouvelle menace montre qu’il ne suffit pas de protéger les boutiques en ligne contre les communications avec des domaines non approuvés”, a ajouté Sansec.

«Les responsables du commerce électronique doivent s’assurer que les attaquants ne peuvent pas injecter de code non autorisé en premier lieu. La surveillance des logiciels malveillants et des vulnérabilités côté serveur est essentielle dans toute politique de sécurité moderne.»

Google Analytics également abusé pour voler des informations de paiement

D’autres services Google ont également été abusés lors d’attaques Magecart, la plate-forme Google Analytics étant utilisée par des attaquants pour voler des informations de paiement dans plusieurs dizaines de magasins en ligne.

Ce qui a aggravé ces attaques, c’est qu’en abusant de l’API Google Analytics, les pirates informatiques pouvaient également contourner le CSP, car les magasins Web ajoutaient à la liste blanche le service d’analyse Web de Google dans leur configuration CSP pour suivre les visiteurs.

Comme Sansec et PerimeterX l’ont constaté à l’époque, au lieu de bloquer les attaques par injection, autoriser les scripts Google Analytics a permis aux attaquants de les utiliser pour voler et exfiltrer des données.

Cela a été fait à l’aide d’un script de skimmer web spécialement conçu pour encoder les données volées et les envoyer au tableau de bord Google Analytics de l’attaquant sous forme chiffrée.

En se basant sur les statistiques fournies par BuiltWith, plus de 28 millions de sites utilisent actuellement les services d’analyse Web GA de Google, avec 17 000 des sites Web accessibles via une analyse HTTPArchive en Mars 2020, mettant en liste blanche le domaine google-analytics.com selon les statistiques de PerimeterX.

«En règle générale, un skimmer numérique (alias Magecart) fonctionne sur des serveurs douteux dans les paradis fiscaux, et son emplacement révèle son intention néfaste», expliquait Sansec à l’époque.

“Mais lorsqu’une campagne de skimming est entièrement exécutée sur des serveurs Google de confiance, très peu de systèmes de sécurité la signalent comme “suspecte”. Et plus important encore, les contre-mesures populaires telles que Content-Security-Policy (CSP) ne fonctionneront pas lorsqu’un administrateur de site fait confiance à Google. “

“CSP a été inventé pour limiter l’exécution de code non fiable. Mais comme pratiquement tout le monde fait confiance à Google, le modèle est imparfait”, a également déclaré Willem de Groot, PDG et fondateur de Sansec.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.