Especialistas em caça a ameaças estão alertando para uma sofisticada campanha de web skimming que utiliza uma legacy application programming interface (API) do processador de pagamentos Stripe para validar informações de pagamento roubadas antes de sua exfiltração.
"Essa tática garante que apenas dados válidos de cartões sejam enviados aos atacantes, tornando a operação mais eficiente e potencialmente mais difícil de ser detectada", disseram os pesquisadores da Jscrambler Pedro Fortuna, David Alves e Pedro Marrucho em um relatório.
Estima-se que até 49 comerciantes tenham sido afetados pela campanha até o momento.
Quinze dos sites comprometidos tomaram medidas para remover as injeções de script maliciosas.
A atividade é avaliada como contínua desde pelo menos 20 de agosto de 2024.
Os detalhes da campanha foram inicialmente sinalizados pela firma de segurança Source Defense no final de fevereiro de 2025, detalhando o uso do web skimmer da API "api.stripe[.]com/v1/sources", que permite que as aplicações aceitem vários métodos de pagamento.
Esse endpoint desde então foi depreciado em favor da nova API PaymentMethods.
As cadeias de ataque empregam domínios maliciosos como o ponto de distribuição inicial para o skimmer em JavaScript que é projetado para interceptar e ocultar o formulário de pagamento legítimo nas páginas de finalização de pedidos, servir uma réplica da tela de pagamento legítima do Stripe, validá-la usando a API sources e, em seguida, transmiti-la para um servidor remoto em formato codificado Base64.
Jscrambler afirmou que os agentes de ameaças por trás da operação provavelmente estão explorando vulnerabilidades e mau configurações em WooCommerce, WordPress e PrestaShop para implantar o script inicial.
Esse script de carregamento serve para decifrar e lançar uma próxima etapa codificada em Base64, que, por sua vez, contém a URL apontando para o skimmer.
"O script de skimming esconde o iframe legítimo do Stripe e o sobrepõe com um malicioso projetado para imitar sua aparência", disseram os pesquisadores.
Também clona o botão 'Finalizar Pedido', escondendo o real.
Uma vez exfiltrados os detalhes, os usuários recebem uma mensagem de erro, pedindo que recarreguem as páginas.
Há evidências que sugerem que o payload final do skimmer é gerado usando algum tipo de ferramenta, dado o fato de que o script parece ser personalizado para cada site alvo.
A empresa de segurança ainda observou que descobriu scripts de skimmer se passando por um formulário de pagamento da Square, sugerindo que os agentes de ameaça provavelmente estão mirando vários prestadores de serviços de pagamento.
E não é só isso.
O código de skimming também foi observado adicionando outras opções de pagamento usando criptomoedas como Bitcoin, Ether (Ethereum), Tether e Litecoin.
"Essa sofisticada campanha de web skimming destaca as táticas evolutivas que os atacantes usam para permanecerem não detectados", disseram os pesquisadores.
E, como bônus, eles efetivamente filtram dados inválidos de cartões de crédito, garantindo que apenas credenciais válidas sejam roubadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...