Penjahat dunia maya akan selalu berupaya mencari celah sekecil apa pun, seperti yang mereka lakukan saat menyalahgunakan platform pengembangan aplikasi bisnis Apps Script Google untuk mencuri informasi kartu kredit yang dikirimkan oleh pelanggan situs web e-niaga saat berbelanja online.
Mereka menggunakan script.google.com untuk menyembunyikan aktivitas berbahaya mereka dari mesin pemindai malware dan mengabaikan kontrol Content Security Policy (CSP).
Mereka memanfaatkan fakta bahwa toko online akan menganggap domain Google Apps Script sebagai tepercaya dan berpotensi memasukkan semua subdomain Google ke daftar putih di konfigurasi CSP situs mereka (standar keamanan untuk memblokir eksekusi kode yang tidak tepercaya di aplikasi web).
Skimmer kartu kredit (skrip Magecart atau skimmer kartu pembayaran) adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan dunia maya yang dikenal sebagai grup Magecart yang disuntikkan ke toko online yang diretas sebagai bagian dari serangan skimming web (juga dikenal sebagai e-skimming).
Setelah digunakan, skrip memungkinkan mereka untuk memanen pembayaran, dan info pribadi yang dikirimkan oleh pelanggan toko yang diretas dan mengumpulkannya di server di bawah kendali mereka.
Titik akhir eksfiltrasi
Taktik pencurian info pembayaran baru ini ditemukan dan memiliki skrip skimmer berbahaya dan disamarkan yang diinjeksi oleh pelaku di situs e-niaga menyadap info pembayaran yang dikirimkan oleh pengguna.
Semua informasi pembayaran yang dicuri dari toko online yang disusupi dikirim sebagai data JSON yang dikodekan base64 ke aplikasi khusus Google Apps Script, menggunakan script [.] Google [.] Com sebagai titik akhir eksfiltrasi.
Setelah mencapai titik akhir Skrip Google Apps, data tersebut diteruskan ke server lain – teknologi analit situs berbasis Israel [.] – yang dikendalikan oleh pelaku.
Teknologi analit domain malware [.] Didaftarkan pada hari yang sama dengan domain malware hotjar [.] Host dan teknologi pixelm [.] Yang ditemukan sebelumnya, yang juga dihosting di jaringan yang sama.
Ini bukan pertama kalinya layanan Google ini disalahgunakan, dengan kelompok penjahat siber FIN7 menggunakannya di masa lalu bersama dengan Google Sheets dan layanan Google Forms untuk perintah dan kontrol malware.
Sejak pertengahan 2015, FIN7 (alias Carbanak atau Cobalt) telah menargetkan bank dan terminal point-of-sale (PoS) perusahaan UE dan AS yang menggunakan backdoor Carbanak.
Ancaman baru ini menunjukkan bahwa hanya melindungi toko web dari berkomunikasi dengan domain yang tidak tepercaya saja tidak cukup.
Manajer e-niaga perlu memastikan bahwa pelaku tidak dapat memasukkan kode yang tidak sah sejak awal. Pemantauan malware dan kerentanan sisi server sangat penting dalam kebijakan keamanan modern.
Google Analytics untuk mencuri kartu kredit
Layanan Google lainnya juga disalahgunakan dalam serangan Magecart, dengan platform Google Analytics digunakan oleh penyerang untuk mencuri info pembayaran dari beberapa lusin toko online.
Yang membuat serangan tersebut lebih buruk adalah bahwa dengan menyalahgunakan API Google Analytics, pelaku ancaman juga dapat menghindari CSP, melihat bahwa toko web memasukkan layanan analisis web Google ke dalam daftar putih dalam konfigurasi CSP mereka untuk melacak pengunjung.
Alih-alih memblokir serangan berbasis injeksi, mengizinkan skrip Google Analytics memungkinkan peretas memanfaatkannya untuk mencuri dan mengeksfiltrasi data.
Ini dilakukan menggunakan skrip web skimmer yang dirancang khusus untuk menyandikan data yang dicuri dan mengirimkannya ke dasbor Google Analytics pelaku dalam bentuk terenkripsi.
Berdasarkan statistik yang disediakan oleh BuiltWith, lebih dari 28 juta situs saat ini menggunakan layanan analisis web Google GA, dengan 17.000 situs web yang dapat dijangkau melalui pemindaian HTTPArchive pada Maret 2020 memasukkan domain google-analytics.com ke dalam daftar putih menurut statistik.
Biasanya, skimmer digital (alias Magecart) berjalan di server yang berada di tax havens, dan lokasinya menunjukkan niat jahatnya.
Tetapi ketika operasi skimming sepenuhnya berjalan di server Google tepercaya, sangat sedikit sistem keamanan yang akan menandainya sebagai mencurigakan. Dan yang lebih penting, tindakan pencegahan populer seperti Content-Security-Policy (CSP) tidak akan berfungsi jika administrator situs mempercayai Google. “
CSP diciptakan untuk membatasi eksekusi kode yang tidak tepercaya. Tapi karena hampir semua orang mempercayai Google, hal ini dapat terjadi.