Dreigingsjagers waarschuwen voor een geavanceerde Web Skimmer -campagne die gebruik maakt van een Legacy Application Programming Interface (API) van betalingsverwerker Stripe om gestolen betalingsinformatie voorafgaand aan exfiltratie te valideren.
“Deze tactiek zorgt ervoor dat alleen geldige kaartgegevens naar de aanvallers worden verzonden, waardoor de operatie efficiënter en mogelijk moeilijker te detecteren is”, zeiden JSCRAMBLER -onderzoekers Pedro Fortuna, David Alves en Pedro Marrucho in een rapport.
Er worden naar schatting maar liefst 49 verkopers door de campagne tot op heden getroffen. Vijftien van de gecompromitteerde sites hebben actie ondernomen om de kwaadaardige scriptinjecties te verwijderen. De activiteit wordt sinds 20 augustus 2024 aan de gang.
Details van de campagne werden voor het eerst gemarkeerd door beveiligingsbedrijf Source Defense tegen het einde van februari 2025, met de details van het gebruik van de Web Skimmer van de API “API.Stripe (.) Com/V1/Sources”, waarmee applicaties verschillende betaalmethoden kunnen accepteren. Het eindpunt is sindsdien verouderd ten gunste van de nieuwe PaymentMethods API.
De aanvalsketens maken gebruik van kwaadaardige domeinen als het eerste distributiepunt voor de JavaScript-skimmer die is ontworpen om het legitieme betalingsformulier te onderscheppen en te verbergen op de kassa-pagina’s, dienen een replica van het legitieme streepbetalingscherm, valideer het met behulp van de bronnen API en verzenden deze vervolgens naar een externe server in Base64-Incoded-formaat.
JSCRAMBLER zei dat de dreigingsacteurs achter de operatie waarschijnlijk gebruik maken van kwetsbaarheden en verkeerde configuraties in WooCommerce, WordPress en Prestashop om het eerste fase -script te implanteren. Dit lader-script dient om een base64-gecodeerde volgende fase te ontcijferen en te lanceren, die op zijn beurt de URL bevat die naar de skimmer wijst.
“Het skimming -script verbergt de legitieme streep iframe en overlapt het met een kwaadwillende die is ontworpen om het uiterlijk na te bootsen,” zeiden de onderzoekers. “Het klelt ook de knop ‘Place Order’ en verbergt de echte.”
Zodra de details zijn geëxfiltreerd, krijgen gebruikers een foutmelding weergegeven en vragen ze om de pagina’s opnieuw te laden. Er zijn aanwijzingen dat de uiteindelijke skimmer -lading wordt gegenereerd met behulp van een soort hulpmiddel vanwege het feit dat het script op elke gerichte site lijkt te zijn afgestemd.
Het beveiligingsbedrijf merkte verder op dat het skimmer -scripts aan het licht bracht dat zich voordoet aan een vierkante betalingsformulier, wat suggereert dat de dreigingsactoren zich waarschijnlijk richten op verschillende aanbieders van betalingsdiensten. En dat is niet alles. De skimming -code is ook waargenomen bij het toevoegen van andere betalingsopties met behulp van cryptocurrencies zoals Bitcoin, Ether (Ethereum), Tether en Litecoin.
“Deze geavanceerde web -skimming -campagne benadrukt de zich ontwikkelende tactiek die aanvallers gebruiken om onopgemerkt te blijven,” zeiden de onderzoekers. “En als een bonus filteren ze effectief ongeldige creditcardgegevens uit, zodat alleen geldige referenties worden gestolen.”
