- Los atacantes abusan de la API de Stripe a través de Google Tag Manager
- El malware roba datos de pago de sitios Magento comprometidos
- Los detalles de las tarjetas robadas se publicaron a través de api.stripe.com
Los ciberdelincuentes han convertido a Stripe en una plataforma de alojamiento de malware, en un nuevo ataque que roba la información de pago de los compradores en línea. Así lo afirma el investigador de ciberseguridad Sansek, que descubrió la campaña a principios de esta semana.
Sansec dijo que los atacantes pudieron comprometer ciertos sitios web de tiendas Magento/Adobe Commerce y agregar un contenedor malicioso de Google Tag Manager (GTM).
Sin embargo, cuando un comprador visita el sitio web, el navegador carga el contenedor GTM desde los servidores de Google y, cuando llega al pago, el código GTM solicita la API de Stripe.
robo de datos
GTM es una herramienta gratuita que permite a los propietarios de sitios web gestionar el seguimiento, análisis y otros scripts en un sitio web sin cambiar directamente el código del sitio. Dado que GTM es una herramienta ampliamente utilizada, cargar código desde googletagmanager.com parece completamente normal y no genera ninguna señal de alerta.
Dado que Stripe es una plataforma de procesamiento de pagos en línea que permite a las empresas procesar transacciones financieras a través de Internet, todavía no hay juego sucio. Pero GTM en realidad recupera un registro de cliente controlado por los atacantes, con un fragmento de JavaScript malicioso en su interior. El sitio web descarga esos fragmentos, los vuelve a ensamblar en un script funcional y luego los ejecuta en el navegador, convirtiendo a Stripe en un casillero de almacenamiento para código de malware.
Una vez que se ejecuta el script, comienza a “observar” la página de pago, de modo que cuando la víctima ingresa los detalles de su tarjeta, el script copia todo, incluido el número de tarjeta, CVV, nombre, dirección y otros detalles relevantes.
Luego, en lugar de enviar los datos inmediatamente a los atacantes, el malware primero concatena toda la información robada en una cadena, aplica ofuscación XOR y almacena el resultado localmente en el navegador. Luego, el malware crea un cliente de Stripe falso, divide los datos robados en dos partes, crea un nuevo objeto de cliente de Stripe en la cuenta de Stripe del atacante y carga los datos robados.
“Tanto la carga útil como la tarjeta robada pasan por api.stripe.com. Las tiendas permiten ese dominio de forma predeterminada, por lo que el skimmer omite las reglas de la política de seguridad de contenido y los filtros de red que de otro modo señalarían el tráfico al dominio de un skimmer desconocido”, explicó Sansek.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
