Kampanye Magecart baru menggunakan infrastruktur API Stripe untuk menampung muatan pencuri kartu kredit dan data yang diambil dari halaman pembayaran.
Seluruh aktivitas jahat bergantung pada domain Google Tag Manager dan Stripe – googletagmanager.com dan api.stripe.com – yang dipercaya secara implisit oleh toko online.
Keluarga malware baru ini ditemukan oleh para peneliti di perusahaan keamanan e-niaga Sansec, yang menemukan bahwa kode berbahaya tersebut dimuat dari penampung Google Tag Manager (GTM) dan dijalankan di setiap laman yang memuatnya.
“Baik muatan maupun kartu yang dicuri berpindah melalui api.stripe.com. Toko mengizinkan domain tersebut secara default, sehingga skimmer lolos dari aturan Kebijakan Keamanan Konten dan filter jaringan yang sebaliknya akan menandai lalu lintas ke domain skimmer yang tidak dikenal,” kata Sansec.
GTM adalah sistem manajemen yang memungkinkan pemilik situs web menambahkan dan mengelola skrip yang digunakan untuk analisis, iklan, dan pelacakan, tanpa mengubah kode sumber situs.
Stripe adalah platform pemrosesan pembayaran yang banyak digunakan oleh toko online untuk menerima kartu kredit, mengelola pesanan pelanggan, dan menangani penagihan.
Menurut Sansec, kode berbahaya tersebut tertanam dalam wadah GTM yang tampak sah, yang aktif ketika pembeli mencapai halaman checkout, mengantri API Stripe untuk catatan pelanggan tertentu, cus_TfFjAAZQNOYENR, dalam hal ini
Dari bidang metadata catatan, ia membaca kode JavaScript yang disusun kembali dan kemudian dijalankan menggunakan Fungsi baru().
Skimmer kartu menargetkan halaman checkout Magento/Adobe Commerce dan berupaya menangkap data pembayaran (nomor kartu kredit, tanggal kedaluwarsa, kode CVV, nama pelanggan) serta alamat penagihan dan email, serta nomor telepon.
Sumber: Sansek
Data yang dicuri digabungkan menjadi satu string, dikaburkan menggunakan operasi XOR, dan disimpan secara lokal, bukan langsung dieksfiltrasi.
Pengambilan data dilakukan melalui rutinitas terpisah, yang dijalankan tepat setelah pemuatan halaman dan setiap menit setelahnya, dengan membagi blob data menjadi dua, membuat objek pelanggan Stripe baru, dan menyimpan data yang dicuri dalam bidang metadata.
Setiap kartu pembayaran yang dicuri menjadi catatan pelanggan palsu di akun Stripe penyerang, sehingga menjadikan Stripe sebagai backend penyimpanan data yang dicuri.
Setelah data disalin, file lokal dihapus untuk menghilangkan jejak serangan dan mencegah duplikat unggahan.
Sumber: Sansek
Sansec juga menemukan varian serangan yang menggunakan Google Firestore, layanan database cloud untuk penyimpanan data dan pengambilan waktu nyata, sebagai pengganti Stripe.
Dalam versi kampanye tersebut, payload diambil dari dokumen Firestore bernama pelacakan/captcha dalam sebuah proyek bernama aplikasi pembayaran braintree. Data yang dicuri disimpan di kunci Penyimpanan lokal yang berbeda (_d_data_customer_).
Nama dokumen dan proyek membantu malware berbaur dengan lalu lintas pembayaran dan perlindungan bot yang sah.
Catatan pelanggan Stripe yang berisi skimmer dilaporkan dibuat pada tanggal 24 Desember 2025, menunjukkan bahwa operasi tersebut mungkin telah aktif setidaknya sejak tanggal tersebut.
Pelanggan dapat melindungi diri mereka dari risiko tersebut dengan menggunakan kartu virtual satu kali dengan batasan yang ditentukan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
