공격자는 비즈니스 애플리케이션 개발 플랫폼을 악용합니다. Google Apps Script 온라인 구매 시 전자 상거래 웹 사이트 고객이 제공한 신용 카드 정보를 도용하는 경우.
이것은 디지털 스캐닝 퇴치를 전문으로 하는 사이버 보안 회사인 Sansec에서 제공한 조기 탐지 데이터를 분석하는 동안 이를 발견한 보안 연구원 Eric Brandel이 보고했습니다.
해커는 script.google.com 도메인을 자신의 목적에 맞게 사용하여 보안 솔루션에서 악의적인 활동을 성공적으로 숨기고 콘텐츠 보안 정책(CSP)을 우회합니다. 사실 온라인 상점에서는 일반적으로 Google Apps Script 도메인을 신뢰할 수 있는 것으로 간주하고 모든 Google 하위 도메인을 허용 목록에 추가하는 경우가 많습니다.
Brandel은 온라인 상점의 웹 사이트에서 공격자가 도입한 웹 스키머 스크립트를 발견했다고 밝혔습니다. 다른 MageCart 스크립트와 마찬가지로 사용자의 결제 정보를 가로챕니다.
이 스크립트가 다른 유사한 솔루션과 다른 점은 도난당한 모든 결제 정보가 base64 인코딩 JSON으로 Google Apps Script에 전송되고 스크립트 [.] Google [.] Com 도메인을 사용하여 도난당한 데이터를 추출했다는 것입니다. 그 후에야 정보가 공격자가 제어하는 도메인 analit [.] Tech로 전송되었습니다.
연구원은 "악성 도메인 analit [.] Tech는 동일한 네트워크에서 호스팅되는 이전에 탐지된 악성 도메인인 hotjar [.] Host 및 pixelm [.] Tech와 같은 날 등록되었습니다."라고 밝혔습니다.
해커가 일반적으로 Google 서비스, 특히 Google Apps Script를 악용하는 것은 이번이 처음이 아닙니다. 예를 들어 2017년에 Carbanak 그룹이 Google 서비스(Google Apps Script, Google Sheets 및 Google Forms)를 C&C 인프라의 기반으로 사용한다는 사실이 알려졌습니다. 2020년에도 Google Analytics 플랫폼이 MageCart 유형의 공격에 악용되고 있는 것으로 보고되었습니다.
또한 읽기: