Los piratas informáticos roban datos de tarjetas de crédito con Google Apps



Un investigador de seguridad ha descubierto un nuevo enfoque diseñado por piratas informáticos para capturar detalles de tarjetas de crédito de compradores de comercio electrónico utilizando las propias herramientas de Google. Mientras analizaba los datos de la empresa de ciberseguridad Sansec, Eric Brandel descubrió que los piratas informáticos estaban utilizando el dominio de Apps Script de Google para parecer legítimos bajo cualquier verificación de Política de seguridad de contenido (CSP). "Lo que hace que el uso indebido de Google Apps Script sea interesante es que el punto final es un scriptGooglecom ”, compartió Brandel en Twitter.

Abuso de confianza

El CSP ayuda a identificar fuentes confiables en una oferta para evitar la creación de secuencias de comandos entre sitios y otros tipos de ataques de inyección de código. En este caso, sin embargo, los piratas informáticos lograron engañar a los controles haciéndose pasar por un dominio confiable. Brandel descubrió que los piratas informáticos habían apostado a que prácticamente todas las tiendas en línea incluirían en la lista blanca todos los subdominios de Google en sus respectivas configuraciones de CSP. Abusaron de esta confianza para usar el dominio de App Script para enrutar los datos robados a un servidor bajo su control. Esta no es la primera vez que los estafadores en línea confían en la reputación de los dominios y servicios de Google. Según los informes, grupos de ciberdelincuentes notorios han abusado de los servicios de Google, como Google Sheets y Google Forms, para las comunicaciones de comando y control de malware. El año pasado, Sansec descubrió una campaña de skimming web que se ejecutaba íntegramente en los servidores de Google, que enviaba información de tarjetas de crédito robadas a Google Analytics. Brandel comparte que pudo replicar la última configuración de abuso en minutos, y agregó descaradamente que es hora de que los desarrolladores web dejen de configurar sus proveedores de servicios en la nube para confiar en los subdominios de Google. Vía: BleepingComputer