A confiança é um dos pilares da internet moderna. Serviços como Stripe e Google Tag Manager (GTM) ajudam milhões de empresas a processar pagamentos, analisar métricas e gerenciar recursos digitais diariamente. No entanto, pesquisadores da Sansec descobriram uma nova campanha de Magecart que transforma justamente essa confiança em uma arma para roubar informações financeiras de consumidores.
A operação utiliza uma técnica sofisticada de skimming digital, na qual os criminosos exploram serviços legítimos para esconder a captura e a exfiltração de dados de cartões de crédito. Em vez de enviar informações roubadas para domínios suspeitos, o malware utiliza recursos associados ao Stripe e à infraestrutura do Google, dificultando a detecção por ferramentas de segurança e equipes de monitoramento.
O caso representa mais uma evolução dos ataques direcionados a plataformas de comércio eletrônico, especialmente ambientes baseados em Magento e Adobe Commerce, que continuam entre os principais alvos de grupos especializados em fraude online.
Como criminosos usam Stripe e Google para esconder ataques Magecart
O diferencial desta campanha está na forma como os invasores aproveitam a reputação de serviços amplamente confiáveis.
O Google Tag Manager é utilizado por milhares de lojas virtuais para gerenciar scripts de marketing e rastreamento. Como consequência, seus domínios normalmente são permitidos em políticas de segurança e dificilmente despertam suspeitas.
O mesmo ocorre com o Stripe, uma das plataformas de pagamento mais populares do mercado. Muitas lojas autorizam comunicações com seus serviços dentro das regras de Content Security Policy (CSP) para garantir o funcionamento adequado do checkout.
Os operadores do Magecart perceberam que essa confiança poderia ser explorada para ocultar atividades maliciosas. Ao utilizar serviços legítimos como intermediários, o tráfego gerado pelo malware se mistura às operações normais da loja, reduzindo significativamente as chances de detecção.
Imagem: Sansec
O truque dos metadados armazenados no Stripe
Segundo a investigação da Sansec, os atacantes criam contas falsas no Stripe e utilizam campos de metadados para armazenar fragmentos de código malicioso.
Quando uma loja comprometida é acessada, um script oculto consulta essas informações e recupera os componentes necessários para montar o malware no navegador da vítima.
A reconstrução ocorre dinamicamente por meio de funções JavaScript como new Function(), permitindo que o código completo exista apenas durante a execução.
Essa abordagem dificulta a análise por ferramentas de segurança tradicionais, que geralmente procuram arquivos maliciosos hospedados em servidores externos ou armazenados diretamente no site comprometido.
Como funciona o roubo de dados durante o checkout
Após ser carregado, o malware passa a monitorar os formulários de pagamento da loja virtual.
Entre os dados capturados estão:
- Número do cartão;
- Nome do titular;
- Data de validade;
- Código CVV;
- Endereço de e-mail;
- Telefone do comprador;
- Informações de cobrança.
A captura acontece diretamente no navegador do usuário antes que os dados sejam enviados ao processador legítimo de pagamentos.
Como a transação continua funcionando normalmente, a vítima não percebe que suas informações também estão sendo enviadas para os criminosos.
Exfiltração oculta e uso de XOR
Depois da coleta, os dados passam por uma etapa de ofuscação utilizando XOR, técnica frequentemente empregada para dificultar inspeções de tráfego.
Embora não seja um método avançado de criptografia, ele é suficiente para ocultar informações de verificações superficiais.
Em seguida, os dados são transmitidos utilizando canais que aparentam fazer parte de operações legítimas do Stripe ou de outros serviços autorizados.
O malware também remove diversos artefatos temporários após a execução, reduzindo evidências e dificultando investigações posteriores.
Variante utiliza Google Firestore para se misturar ao tráfego legítimo
Os pesquisadores identificaram ainda uma segunda variante da campanha.
Nela, os criminosos utilizam o Google Firestore, serviço de banco de dados em nuvem do Google, como repositório para informações relacionadas ao ataque.
Os recursos são registrados com nomes aparentemente legítimos, incluindo identificadores como braintree-payment-app, tornando ainda mais difícil diferenciar tráfego normal de atividades maliciosas.
Como muitos ambientes corporativos já confiam em serviços do Google, bloquear essas conexões pode causar interrupções operacionais, o que favorece a permanência da ameaça.
Como proteger lojas Magento contra skimming digital
A descoberta reforça a necessidade de adotar uma estratégia de defesa em múltiplas camadas.
Administradores de Magento e Adobe Commerce devem:
- Auditar regularmente contêineres do Google Tag Manager;
- Revisar regras de Content Security Policy;
- Monitorar alterações em arquivos críticos do checkout;
- Aplicar atualizações de segurança imediatamente;
- Verificar a integridade dos módulos instalados;
- Utilizar monitoramento contínuo de scripts executados no navegador.
Já os consumidores podem reduzir riscos utilizando:
- Cartões virtuais temporários;
- Alertas instantâneos de transações;
- Métodos de pagamento com tokenização;
- Monitoramento frequente da fatura.
Ataques Magecart estão se tornando mais difíceis de detectar
A nova campanha analisada pela Sansec mostra que o ecossistema de Magecart continua evoluindo. Ao abusar de serviços legítimos como Stripe, Google Tag Manager e Google Firestore, os criminosos conseguem ocultar atividades maliciosas dentro de fluxos de tráfego considerados normais.
Para empresas de comércio eletrônico, especialmente aquelas que operam em ambientes Magento, a descoberta serve como um alerta de que a confiança em domínios legítimos não pode substituir monitoramento contínuo, auditorias de segurança e validações constantes dos componentes que participam do processo de pagamento.