Os atacantes conseguiram colocar um script que faz o skimming de cartões de créditos em domínios da Google falsos de forma a convenver os visitantes aquando de transações online.

Foi na Sucuri que investigadores descobriram domínios da google a hospedarem este script para roubar dados de pagamento.

Essencialmente, os atacantes estão a utilizador nomes internacionalizados de forma a não chamarem tanto à atenção e servidores camuflados. De forma a redirecionar as vítimas de forma mais eficiente, o que os atacantes fazem é usar a técnica de códigos em ASCII e esconder ou "spoofar" um URL, e assim a vítima é redirecionada ao domínio como se fosse legítimo.

O que o script implantado faz é capturar os dados submetidos através do document.getElementsByTagName e a partir daí conseguem capturar nomes ou elementos que sejam submetidos.

O domíno que alegadamente os atacantes utilizam para fazer upload dos dados de pagamento é google[.]ssl[.]lnfo[.]cc. Além disso, foi também notado que na tabela _config_data, estão valores de configuração da interface de administração do Magento.

Outra tática utilizada para implementar este script é procurar buckets S3 mal configurados, de tal maneira que qualquer utilizador com uma conta S3 válida consegue ler e escrever sobre os mesmos.

Fonte: https://www.bleepingcomputer.com/news/security/hackers-inject-multi-gateway-card-skimmer-via-fake-google-domains/