นักวิจัย Proofpoint พบว่า Google Apps Script ถูก Hacker นำมาใช้เพื่อดาวน์โหลดมัลแวร์จาก Google Drive จากเครื่องของตนไปยังอุปกรณ์ของผู้ใช้อัตโนมัติ ซึ่งเป็นที่ทราบกันดีว่า Google Apps Script เป็น Script ที่มีพื้นฐานมาจาก JavaScript เพื่อช่วยให้นักพัฒนาสร้างแอพพลิเคชั่น และทำงานอัตโนมัติได้ ด้วยเหตุนี้เอง จึงทำให้ผู้เชี่ยวชาญตั้งข้อสังเกตว่า Hacker อาจจะใช้ประโยชน์จาก Script นี้เพื่อใช้ในการส่งมัลแวร์โดยใช้ Code คำสั่งง่ายๆ เช่น onOpen หรือ onEdit เป็นต้น
Proofpoint ได้อธิบายถึงวิธีการโจมตีไว้ว่า Hacker จะทำการอัปโหลดชิ้นส่วนมัลแวร์ลงใน Google Drive แล้วสร้างลิงค์สาธารณะขึ้นมา จากนั้น Hacker ก็จะใช้ Google Docs ส่งลิงค์ไปยังผู้ใช้ เมื่อผู้ใช้พยายามที่จะเข้าแก้ไขไฟล์ Google Docs Code คำสั่ง ใน Google Apps จะทำการดาวน์โหลดมัลแวร์ไปยังอุปกรณ์ของผู้ใช้โดยอัตโนมัติ เพียงแค่ Hacker ใช้วิธีการทาง social engineering เพื่อโน้มน้าวให้ผู้ใช้เปิดไฟล์เอกสารให้ได้แค่นั้นก็พอ ในตอนนี้ทาง Google หาวิธีป้องกันโดยทำการควบคุมเพื่อบล็อก และป้องกันการ Phishing Attack ผ่านทางการเปิดเอกสาร
Bentkowski พบว่าขณะที่ Caja (เป็นเครื่องมือที่ใช้ฝัง HTML, CSS และ JavaScript ไว้ในเว็บไซต์อย่างปลอดภัย) ทำงานอยู่ พบว่า Hacker พยายามที่จะข้ามผ่านการป้องกันโดยใช้วิธีการที่ทำให้ระบบสับสน เช่น เขียน window เป็น ฟังก์ชัน (win+dow) หรือพยายามหลีกเลี่ยงไปใช้ Unicode แทน ซึ่งนักวิจัยได้ค้นพบว่า window สามารถเขียนได้อีกแบบหนึ่งคือ \u0077ndow ซึ่งตัว “w” จะถูกแทนที่ด้วยการใช้ Unicode \u0077 ซึ่ง Hacker สามารถใช้วิธีการนี้สร้างเอกสาร Google Docs ขึ้นมาแบบพิเศษ โดยรวมข้อมูลที่ใช้ในการโจมตีแบบ XSS (cross-site scripting attacks)
เท่าที่ดูในตอนนี้ ก็ยังไม่พบว่ามีการโจมตีวิธีนี้เกิดขึ้น Maor Bin หัวหน้านักวิจัยด้านความปลอดภัยของ Threat Systems Products จาก Proofpoint กล่าวว่า “SaaS (Software as a Service) เป็นเหมือนพรมแดนระหว่าง Hacker กับฝ่ายป้องกัน โดยที่ Hacke จะพยายามใช้เครื่องมือใหม่ๆ วิธีการใหม่ๆ ในการโจมตี อย่างเช่น Google Apps Script ซึ่งในขณะเดียวกันเครื่องมือที่ใช้ในการตรวจจับการโจมตีมีไม่มาก หรือเครื่องมือที่จำหน่ายผ่านทาง SaaS ที่ถูกกฏหมายนั้นมีน้อยมาก”
นอกจากนี้ Maor Bin ยังกล่าวเสริมอีกว่า “นี่เป็นโอกาสที่จะดูว่า Hacker จะนำช่องโหว่ที่พบนี้ไปในทางไหน ซึ่งอาจจะใช้ประโยชน์จากช่องโหว่นี้ไปในทางที่ดีก็ได้ หรือ เพื่อใช้ประโยชน์จากฟีเตอร์ที่ถูกกกฎหมายไปในทางที่ไม่ดี”
ที่มา : securityweek.com
