Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향해커들, Google Apps Script를 악용해 카드 정보 도난했다.
작성일 2021-02-19 조회 3171

공격자들이 구글의 Apps Script를 악용해 고객들이 전자상거래 시 이용한 신용카드들의 정보를 도난하고 있는 정황이 포착됐다. 이들은 script.google.com 도메인을 이용해 악성 스크립트 스캔 엔진으로부터 감시를 피했고 Content Security Policy (CSP) 를 우회한 상태다.

 

공격자들은 공격 대상이 되는 온라인 스토어가 CSP 구성에서 모든 구글 하위 도메인을 Whitelist로 추가 시켜 놓았다는것을 알아냈다. 현재 삽입된 악성 스크립트는 web skimming의 일환으로 자바스크립트를 기반으로 한다. 스크립트가 실행되면 스토어의 사용자들이 결제한 내역들과 개인 정보들을 수집해 공격자들의 서버로 전송된다.

 

이번 공격은 보안 연구원인 Eric Brandel이 Sansec 보안 회사로부터 받은 데이터를 분석하던 도중 발견했다. 그는 "도난당한 데이터들은 JSON으로 가공, Base64 인코딩을 거친 뒤 Apps Script 사용자 지정 앱으로 전송하며 최종적으로  공격자의 서버로 추정되는 이스라엘 사이트 analit.tech로 전달된다."고 밝혔다.

 


[그림1. 공격자의 Apps Script]

 


[그림2. 난독화된 Script]

 

 

 

Apps Script 서비스가 악용된 것은 이번이 처음이 아니다. 과거 FIN7 사이버 범죄 집단이 악성코드 명령 및 제어를 위해 Google Sheet, Forms 서비스와 함께 이용한 전적이 있다.

 

Sansec은 "온라인 스토어가 신뢰할 수 없는 도메인 차단 기능만으로는 충분하지 않다. 전자 상거래 관리자들은 처음부터 공격자가 악성 스크립트를 삽입할 수 없도록 조치해야 한다. 또한 지속적인 모니터링이 필요하다"고 주의를 요구했다.

 

출처

 

https://sansec.io/research/google-apps-script

 

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/

첨부파일 첨부파일이 없습니다.
태그 Google Apps Script  web skimming