Expertos en ciberseguridad reportan que un grupo de hackers maliciosos está abusando de Apps Script, una plataforma de desarrollo de aplicaciones empresariales mantenida por Google con el fin de robar información financiera de los usuarios, principalmente tarjetas de crédito.
“Los hackers utilizan la reputación de dominios como script.google.com para evadir los escaneos anti malware y confiar en controles como CSP”, reportan los expertos de la firma Sansec. En esta campaña, el dominio legítimo es explotado para evadir la detección y los controles de seguridad en los sistemas atacados, ya que el dominio está incluido en listas blancas de forma predeterminada.
El ataque inicia con el compromiso de algunos sitios web de comercio electrónico, en los que se inyecta un pequeño fragmento de código malicioso:
Los expertos mencionan que el malware empleado en esta campaña fue diseñó para interceptar formularios de pago y enviar los datos a una aplicación personalizada, alojada en Google Apps Script.
El reporte también menciona que el código real alojado en Google no es público, pero el mensaje de error que se muestra al llegar al script anterior es un indicio de que los datos de pago comprometidos son canalizados por los servidores de Google a un sitio con sede en Israel llamado analit’.’tech.
El dominio malicioso, fue registrado el mismo día que otros dominios como hojtar’.’host o pixelm’.’tech, que han sido empleados en otras campañas maliciosas para el despliegue de algunas variantes de malware. Los expertos recomiendan a los administradores de sitios e-commerce asegurarse de que los atacantes no puedan inyectar código no autorizado en sus plataformas, ya que estableciendo un control adecuado pueden evitar la mayor proporción de los ataques conocidos.
En ocasiones pasadas se han detectado a peligrosos grupos de hacking abusando del servicio de Google Analytics para extraer información confidencial usando un malware de skimming. Este grupo de hacking, identificado como Magecart, explotó recursos de confianza como Analytics en múltiples ocasiones para esquivar las políticas de seguridad de contenido mediante la API legítima.
Los atacantes comprometieron la tienda electrónica utilizando el servicio de análisis web de Google para rastrear a los visitantes, por lo que los dominios de Google Analytics están incluidos en la lista blanca en su configuración de CSP. Expertos en ciberseguridad han encontrado al menos veinte sitios de e-commerce infectados en todo el mundo, incluyendo plataformas comerciales en Europa y América dedicadas a la venta de equipos digitales, cosméticos, alimentos, entre otros productos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.