Хакеры используют уязвимость в Гугл-капче / forpes.ru

Главная
Хакеры используют уязвимость в Гугл-капче

Хакеры используют уязвимость в Гугл-капче -4

12.05.2021 17:06

netAn 13 9900 Источник

Простите за слишком короткий пост.

Сегодня наш админ обнаружил подозрительные письма при анализе заблокированных писем на нашем почтовом сервере. Вместе с текстом про скучающих девушек была вот такая ссылка в письме:

(кликать лучше в режиме инкогнито)

https://script.google.com/macros/s/AKfycbyH1OnBBjKdW3KIeveVeG6WB1eat_cAwHnq8m_7OWTkejNKTg7H6jfzI25YwhstjLaEfQ/exec?b3VkYXJkbG9pY0B5YWhvby5mcg==

После клика на мгновение открывается Гугл-капча, затем происходит автоматический редирект на сайт злоумышленников.

Похоже используют какую-то дыру в скриптах Гугла, чтобы маскировать фишинговые и просто подозрительные URL.

Тут есть сотрудники Гугла или Касперского? Кому отправлять такую информацию?

Комментарии (13)

tempick
12.05.2021 20:18
#23027340
+3
Как я понял, просто создали функцию в google apps script (https://script.google.com/home), где просто выводят html с каптчей и делают редирект на js. Никакого хакинга лично я не заметил
1. netAn Автор
  12.05.2021 20:20
  #23027348
  +1
  Смысл в том, что в антиспам-фильтры быстро попадают сайты рассыльщиков. А гугл вроде как в белых списках. Можно обойти фильтры и спокойно делать рассылки.
  1. zoonman
    12.05.2021 21:58
    #23027676
    Любой более-менее вменяемый анти-спам фильтр умеет "читать" письма, поэтому скучающие девушки отправляются обычно в спам.
  1. nochkin
    13.05.2021 04:37
    #23028238
    Так многие спамеры и делают — пользуются бесплатным хостингом типа Google и т.п., что бы через низ делать редиректы куда надо.

netAn Автор

12.05.2021 20:29

#23027384

Вот сам контент, после которого быстро идёт редирект. Сверху ворнинг, что это не гугловский скрипт:

<!doctype html>
<html>
<head>
<meta name="chromevox" content-script="no">
<link rel="stylesheet" href="https://fonts.googleapis.com/icon?family=Material+Icons" nonce="tleIJpVzV0IOV7vcC7XL/Q"><link rel="stylesheet" href="/static/macros/client/css/1436683722-mae_html_css_ltr.css">
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/FD126C42-EBFA-4E12-B309-BB3FDD723AC1/main.js?attr=qVHVqr-yYyYbejJNNEwqYdApeHxvJR_5NlVKlPl_PmD31E0n6JHD7j7tZfQzya8pgbMERMMqlTpUSB2zjuaDCCqnvJrBhDl79ve5RpHgm8QFcybtG68H7kRs0r8HnYGsXLh8AbWDrR2f45bNBfch0KpNKcmROhPPHXhY-V8JRdWweIER_CS3wo5saHCkswojAwF-9IsacSX-uNCuJprAUPyJDEQfW3kyLuhqJbIzcKQ" nonce="266e5ef710863ec2efecb5eb37e67561" charset="UTF-8"></script><script type="text/javascript" src="/static/macros/client/js/877336096-warden_bin_i18n_warden__ru.js" nonce="tleIJpVzV0IOV7vcC7XL/Q"></script>
</head>
<body>
<table id="warning-bar-table" class="full_size" cellspacing="0" cellpadding="0"><tr><td><div id="warning" class="warning-bar"></div></td></tr><tr><td style="height: 100%"><iframe id="sandboxFrame" allow="accelerometer *; ambient-light-sensor *; autoplay *; camera *; clipboard-read *; clipboard-write *; encrypted-media *; fullscreen *; geolocation *; gyroscope *; magnetometer *; microphone *; midi *; payment *; picture-in-picture *; screen-wake-lock *; speaker *; sync-xhr *; usb *; web-share *; vibrate *; vr *" sandbox="allow-downloads allow-forms allow-modals allow-popups allow-popups-to-escape-sandbox allow-same-origin allow-scripts allow-top-navigation">
</iframe>
</td></tr></table><script type="text/javascript" nonce="tleIJpVzV0IOV7vcC7XL/Q">
(function() {
var el = document.getElementById('sandboxFrame');
el.onload = function() {
goog.script.init("\x7b\x22functionNames\x22:\x5b\x22doGet\x22\x5d,\x22sandboxMode\x22:\x22IFRAME_SANDBOX\x22,\x22callbackTimeout\x22:390000,\x22deploymentId\x22:\x22AKfycbyH1OnBBjKdW3KIeveVeG6WB1eat_cAwHnq8m_7OWTkejNKTg7H6jfzI25YwhstjLaEfQ\x22,\x22eei\x22:\x22\x22,\x22sandboxHost\x22:\x22https:\/\/n-oy3u3dg6ytxuqm5lkz2w4v2i37jgaua7iwzxwzq-0lu-script.googleusercontent.com\x22,\x22clientSideProperties\x22:\x7b\x22google.script.sandbox.mode\x22:\x22IFRAME_SANDBOX\x22,\x22google.script.host.origin\x22:\x22https:\/\/script.google.com\x22\x7d,\x22actionPrefix\x22:\x22\/macros\/s\/AKfycbyH1OnBBjKdW3KIeveVeG6WB1eat_cAwHnq8m_7OWTkejNKTg7H6jfzI25YwhstjLaEfQ\x22,\x22userHtml\x22:\x22\\u003ccenter style\\u003d\\\x22margin-top: 50px;\\\x22\\u003e\\u003cinput type\\u003d\\\x22image\\\x22 src\\u003d\\\x22https:\/\/encrypted-tbn0.gstatic.com\/images?q\\u003dtbn:ANd9GcQB5jhV7hrugNx5FC9EhZo22BixJ-AeUOX_6A\\\x22 width\\u003d\\\x22500px\\\x22 onclick\\u003d\\\x22window.top.location.href\\u003d\\u0027https:\/\/prgiu.biz\/?b3VkYXJkbG9pY0B5YWhvby5mciZzPWptbF9EYXRpbmdfIDEyMDUyMDIxX3NjcmlwdGdvb2dsZQ\\u003d\\u003d\\u0027\\\x22\\u003e\\u003c\\\/center\\u003e\\u003cscript\\u003ewindow.top.location.href\\u003d\\\x22https:\/\/prgiu.biz\/?b3VkYXJkbG9pY0B5YWhvby5mciZzPWptbF9EYXRpbmdfIDEyMDUyMDIxX3NjcmlwdGdvb2dsZQ\\u003d\\u003d\\\x22;\\u003c\\\/script\\u003e\x22,\x22ncc\x22:\x22\x7b\\\x22awhs\\\x22:true\x7d\x22\x7d", "AJuLMu2wabJ-yvIEibl1w7qg7YQbDWO0iA:1620840473606", undefined, true , false  , "true", "https:\/\/n-oy3u3dg6ytxuqm5lkz2w4v2i37jgaua7iwzxwzq-0lu-script.googleusercontent.com");}
el.src = 'https:\/\/n-oy3u3dg6ytxuqm5lkz2w4v2i37jgaua7iwzxwzq-0lu-script.googleusercontent.com\/userCodeAppPanel';
}());
</script>
</body>
</html>

Utilisator
12.05.2021 20:30
#23027388
+2
У меня тоже эта хрень больше 2 месяцев прилетает на ящик

YuriChetverikov
12.05.2021 21:24
#23027598
+2
Обычный скрипт, написанный в Google Apps Script.
Любой желающий может написать такой и опубликовать — по аналогии с гуглдокументами.

О какой уязвимости идет речь?

Bonio
12.05.2021 21:32
#23027616
А что за Google Apps Script? Для чего оно может использоваться?
1. vmkazakoff
  12.05.2021 22:16
  #23027726
  Удобная штука для своих домашних поделок. Ноги растут от vba в Экселе, как мне кажется, но теперь это намного более сильная штука.
  По сути это JS + немного встроенных API. Умеет работать с таблицами и документами, умеет получать и передавать что-то по http (и get и post) и вообще много всего.
  У меня на этих скриптах написан бот для телеги - отличное бесплатное решение за 0 копеек. Инструкции можно нагуглить тут же на Хабре.
  1. YuriChetverikov
    13.05.2021 11:41
    #23029104
    Ага, сильная сторона — интеграция с Аналитикой и другими сервисами Гугла.
    Можно сделать удобную прослойку, чтобы себе забирать данные.

mSnus
12.05.2021 21:32
#23027620
+1
А при чём здесь "взлом"? Грузится какой-то скрипт с гугловского поддомена, там может быть что угодно. Если такие ссылки открывать, никакой Касперский не поможет. Это как пинать на улице забытые кем-то пакеты, рано или поздно рванёт.
1. netAn Автор
  12.05.2021 21:45
  #23027642
  Социальный инжиниринг же

neocity
13.05.2021 17:18
#23030696
На минутку посетила мысль, что пост — хорошо завуалированная реклама :)