Хакеры крадут данные банковских карт, используя Google Apps Script

01.03.2021 Для этого на сайты интернет-магазинов они встраивают вредоносный скрипт. Поскольку домен «script.google.com» (и прочие домены Google) у владельцев сайтов находятся в «белом списке», действия мошенников не могут быть обнаружены антивирусом и проходят требования Content Security Policy (CSP).

Отличие данного скрипта от его аналогов, предназначенных для похищения данных банковских карт в том, что платежная информация не отправляется напрямую в руки хакеров. Сначала она поступает на легитимный домен «script.google.com» в виде JSON в кодировке base64. Там происходит извлечение необходимой информации из общего массива. А затем информация передаётся на домен «analit.tech», принадлежащий уже непосредственно хакерам.

Обнаружил опасный скрипт эксперт по информационной безопасности Эрик Брандель. Как он отметил, «вредоносный домен «analit.tech» был зарегистрирован в тот же день, что и ранее обнаруженные вредоносные домены «hotjar.host» и «pixelm.tech», которые размещены в той же сети».