Los cazadores de amenazas advierten de una sofisticada campaña de skimmer web que aprovecha una interfaz de programación de aplicaciones heredadas (API) de la franja del procesador de cuota para validar la información de cuota robada antiguamente de la exfiltración.
“Esta táctica asegura que solo se envíen datos de plástico válidos a los atacantes, lo que hace que la operación sea más capaz y potencialmente más difícil de detectar”, dijeron los investigadores de JSCrambler Pedro Fortuna, David Alves y Pedro Marrucho en un noticia.
Se estima que hasta 49 comerciantes fueron afectados por la campaña hasta la vencimiento. Quince de los sitios comprometidos han tomado medidas para eliminar las inyecciones de guiones maliciosos. Se evalúa la actividad en curso desde al menos el 20 de agosto de 2024.
Los detalles de la campaña fueron marcados por primera vez por la defensa fuente de la firma de seguridad alrededor de fines de febrero de 2025, detallando el uso del skimmer web de la API “API.stripe (.) Com/V1/Sources”, que permite que las aplicaciones acepten varios métodos de cuota. Desde entonces, el punto final se ha desapercido a honra de la nueva API de PaymetMethods.
Las cadenas de ataque emplean dominios maliciosos como el punto de distribución original para el skimmer de JavaScript que está diseñado para interceptar y ocultar el formulario de cuota probado en las páginas de cuota de pedidos, servir una réplica de la pantalla de cuota de rayas legítimas, validarlo utilizando la API de fuentes, y luego transmitirlo a un servidor remoto en formato Base64-codificado.
Jscrambler dijo que los actores de amenaza detrás de la operación probablemente aprovechen las vulnerabilidades y las configuraciones erróneas en WooCommerce, WordPress y Prestashop para implantar el bandera de la etapa original. Este script de cargador sirve para descifrar y editar una próxima etapa codificada en Base64, que, a su vez, contiene la URL que apunta al Skimmer.
“El bandera de descremado esconde el iframe de rayas probado y lo superpone con uno sagaz diseñado para imitar su apariencia”, dijeron los investigadores. “Asimismo clama el yema ‘Place Order’, ocultando el positivo”.
Una vez que se exfiltran los detalles, los usuarios se muestran un mensaje de error, pidiéndoles que vuelvan a cargar las páginas. Hay alguna evidencia que sugiere que la carga útil final de Skimmer se genera utilizando algún tipo de utensilio correcto al hecho de que el script parece estar adaptado a cada sitio dirigido.
La compañía de seguridad señaló por otra parte que descubrió guiones de skimmer que se sufra un formulario de cuota cuadrado, lo que sugiere que los actores de amenaza probablemente se dirigen a varios proveedores de servicios de cuota. Y eso no es todo. El código de descremado asimismo se ha observado agregando otras opciones de cuota utilizando criptomonedas como Bitcoin, Ether (Ethereum), Tether y Litecoin.
“Esta sofisticada campaña de descremado web destaca las tácticas en progreso que usan los atacantes para permanecer sin ser detectados”, dijeron los investigadores. “Y como bono, filtran efectivamente datos de plástico de crédito no válidos, asegurando que solo se roben credenciales válidas”.
