Хакеры используют платформу Google’s Apps Script для кражи данных платежных карт покупателей. Они используют домен script.google.com, чтобы скрыть свои действия от механизмов обнаружения малварей и уклониться от контроля CSP (Content Security Policy).
Исследователь безопасности Эрик Брандель объяснил, что злоумышленники делают ставку на то, что большинство онлайн-магазинов, скорее всего, включили в белые списки все субдомены Google в конфигурации CSP (протокол безопасности, который блокирует подозрительные исполнения кода в веб-приложениях).
Как только хакеры внедрили вредоносный скрипт на e-commerce сайт, вся платежная информация стала передаваться в виде JSON в кодировке base64 в Google Apps Script. Домен script.google.com использовался как конечная точка эксфильтрации. Далее украденные данные передавали на другой сервер - analit[.]tech.
Специалисты сообщили, что домен analit[.]tech был зарегистрирован в тот же день, что и ранее обнаруженные hotjar[.]host и pixelm[.]tech, размещенные в одной и той же сети.
Эксперты также отметили, что, когда скимминговая кампания происходит на доверенных серверах Google, лишь некоторые системы пометят ее как «подозрительную». Такие меры, как CSP, не будут работать, если администратор сайта доверяет Google.