Pemburu ancaman memperingatkan kampanye skimmer web yang canggih yang memanfaatkan antarmuka pemrograman aplikasi warisan (API) dari stripe prosesor pembayaran untuk memvalidasi informasi pembayaran yang dicuri sebelum eksfiltrasi.
“Taktik ini memastikan bahwa hanya data kartu yang valid yang dikirim ke penyerang, membuat operasi lebih efisien dan berpotensi lebih sulit untuk dideteksi,” kata peneliti JSCrambler Pedro Fortuna, David Alves, dan Pedro Marrucho dalam sebuah laporan.
Sebanyak 49 pedagang diperkirakan telah dipengaruhi oleh kampanye hingga saat ini. Lima belas situs yang dikompromikan telah mengambil tindakan untuk menghapus suntikan naskah jahat. Kegiatan ini dinilai sedang berlangsung sejak setidaknya 20 Agustus 2024.
Rincian kampanye pertama kali ditandai oleh perusahaan keamanan pertahanan menjelang akhir Februari 2025, merinci penggunaan skimmer web dari “API.Stripe[.]Com/V1/Sumber “API, yang memungkinkan aplikasi untuk menerima berbagai metode pembayaran. Sejak itu titik akhir telah digunakan untuk mendukung API Metode Pembayaran Baru.
Rantai serangan menggunakan domain jahat sebagai titik distribusi awal untuk skimmer JavaScript yang dirancang untuk mencegat dan menyembunyikan formulir pembayaran yang sah pada halaman checkout pesanan, melayani replika layar pembayaran strip yang sah, memvalidasi menggunakan API sumber, dan kemudian mengirimkannya ke server jarak jauh dalam format yang dien sama dengan base64.
JSCrambler mengatakan aktor ancaman di balik operasi itu kemungkinan memanfaatkan kerentanan dan salah konfigurasi di WooCommerce, WordPress, dan Prestashop untuk menanamkan skrip tahap awal. Skrip Loader ini berfungsi untuk menguraikan dan meluncurkan tahap berikutnya yang dikodekan oleh base64, yang, pada gilirannya, berisi URL yang menunjuk ke skimmer.
“Naskah skimming menyembunyikan stripe iframe yang sah dan overlays dengan yang jahat yang dirancang untuk meniru penampilannya,” kata para peneliti. “Itu juga mengklonkan tombol 'Place Order', menyembunyikan yang asli.”
Setelah detailnya dieksfiltrasi, pengguna ditampilkan pesan kesalahan, meminta mereka untuk memuat ulang halaman. Ada beberapa bukti yang menunjukkan bahwa muatan skimmer akhir dihasilkan menggunakan semacam alat karena fakta bahwa skrip tampaknya disesuaikan untuk setiap situs yang ditargetkan.
Perusahaan keamanan lebih lanjut mencatat bahwa mereka mengungkap skrip skimmer yang menyamar sebagai formulir pembayaran kuadrat, menunjukkan bahwa para pelaku ancaman kemungkinan menargetkan beberapa penyedia layanan pembayaran. Dan bukan itu saja. Kode skimming juga telah diamati menambahkan opsi pembayaran lain menggunakan cryptocurrency seperti Bitcoin, Ether (Ethereum), Tether, dan Litecoin.
“Kampanye skimming web yang canggih ini menyoroti yang digunakan penyerang taktik yang berkembang untuk tetap tidak terdeteksi,” kata para peneliti. “Dan sebagai bonus, mereka secara efektif menyaring data kartu kredit yang tidak valid, memastikan bahwa hanya kredensial yang valid yang dicuri.”
