Cyberthreat.id - Kelompok hacker dilaporkan telah menyalahkan platform pengembangan aplikasi bisnis Google Apps Script untuk mencuri informasi kartu pembayaran (kredit dan debit) dari platform e-niaga atau e-commerce.

Hal itu berdasarkan temuan peneliti Sansec seperti dilaporkan Securityaffair.co, Jumat (19 Februari 2021).

Google Apps Script adalah platform scripting (penulisan baris kode) yang dikembangkan oleh Google untuk pengembangan aplikasi ringan di platform Google Workspace.

Menurut peneliti Sansec, penyerang menggunakan domain script.google.com untuk menghindari pendekteksi malware dan kontrol Kebijakan Keamanan Konten (CSP). Ini lantaran domain Google, dan subdomainnya, dimasukkan ke daftar putih secara default di konfigurasi CSP platfom e-commerce.

“Penyerang menggunakan reputasi domain Google terpercaya script.google.com untuk menghindari pemindai malware dan kontrol keamanan seperti CSP,” tulis peneliti Sansec di situsnya.

Teknik baru ini ditemukan oleh peneliti keamanan Eric Brandel menggunakan alat Deteksi Pelanggaran Awal Sansec.

Lebih rinci, Sansec menyebutkan, penyerang menyusup ke platform e-commerce dengan memasukkan sebagian kecil kode yang disamarkan ke halaman mereka seperti dikutip di bawah ini:

Perangkat lunak jahat dirancang untuk menyadap formulir pembayaran dan mengirimkan data ke aplikasi yang dimodifikasi dan dihosting di Google Apps Script.

Peneliti menunjukkan bahwa kode sebenarnya yang dihosting di Google tidak bersifat publik, tetapi pesan kesalahan yang ditampilkan menunjukkan bahwa data pembayaran yang dicuri disalurkan oleh server Google ke situs berbasis Israel yang bernama analit[.]tech

Domain berbahaya itu terdeteksi didaftarkan pada hari yang sama dengan domain hotjar[.]host dan pixelm[.]tech yang ditemukan sebelumnya  terlibat dalam serangan malware, yang juga dihosting di jaringan yang sama.

“Ancaman baru ini menunjukkan bahwa upaya mencegah platform e-commerce berkomunikasi dengan domain yang di-blacklist saja tidak cukup. Pengelola e-niaga perlu memastikan bahwa penyerang tidak dapat memasukkan kode yang tidak sah sejak awal. Pemantauan malware dan kerentanan server-side sangat penting dalam kebijakan keamanan modern apa pun,” simpul Sansec.

Ini bukan pertama kalinya peretas Magecart (perangkat lunak yang digunakan oleh berbagai grup peretas untuk memasukkan kode berbahaya ke situs e-niaga untuk mencuri data pembayaran pelanggan) menyalahgunakan layanan Google dalam serangannya. Pada Juni 2020, Kaspersky mengidentifikasi beberapa serangan skimming web yang menyalahgunakan layanan Google Analytics untuk mengekstrak data yang dicuri dengan perangkat lunak e-skimmer.

Pelaku memanfaatkan kepercayaan di Google Analytics untuk melewati Kebijakan Keamanan Konten (CSP) menggunakan API  (protokol untuk mengintegrasikan perangkat lunak aplikasi untuk saling terhubung atau Application Programming Interface) Analytics. Menggunakan API ini, suatu aplikasi dapat menarik data dari server lain, seperti ketika Anda dapat menarik uang di ATM BNI menggunakan kartu dari Bank Mandiri. 

Penyerang menargetkan toko e-niaga yang menggunakan layanan analisis web Google untuk melacak pengunjung dan karena alasan inilah domain Google Analytics masuk daftar putih dalam konfigurasi CSP mereka.

Kaspersky menemukan sekitar dua lusin situs yang terinfeksi di seluruh dunia, termasuk toko elektronik di Eropa dan Amerika Utara dan Selatan yang menjual peralatan digital, kosmetik, produk makanan, suku cadang, dan lainnya.[]