Pesquisadores da Sansec descobriram uma nova campanha do grupo Magecart que utiliza a API do Stripe como servidor de comando e controle de malware. O ataque, detectado em junho de 2026, armazena skimmers JavaScript nos metadados de clientes Stripe e os entrega em páginas de checkout via Google Tag Manager, roubando dados de cartões de crédito de lojas virtuais.
Como o ataque funciona
A campanha divide a operação em três estágios que se executam em sequência nas páginas infectadas. No primeiro momento, um container legítimo do Google Tag Manager (GTM-P6KZMF63 e outros) carrega código malicioso disfarçado como tag de análise. Quando o visitante acessa a página de checkout, esse código busca o skimmer a partir dos metadados de um cliente Stripe controlado pelo atacante e o executa com new Function().
O skimmer então captura os campos do formulário de pagamento — número do cartão, validade, CVV e dados de cobrança — codifica com XOR e armazena no localStorage do navegador. A exfiltração ocorre silenciosamente: a cada 60 segundos, o loader envia os dados roubados para a conta Stripe do atacante, disfarçados como registros de clientes falsos via api.stripe.com.
Stripe como servidor C2
O que torna este ataque particularmente sofisticado é o uso do Stripe como infraestrutura completa de comando e controle. O atacante armazena o skimmer em partes dentro dos campos de metadados de um cliente Stripe (meta0, meta1, meta2 etc.), contornando limites de tamanho. Para atualizar o malware, basta editar esses metadados — sem necessidade de reinfectar a loja.
| Componente | Serviço abusado | Função no ataque |
|---|---|---|
| Loader inicial | Google Tag Manager | Entrega código na página de checkout |
| Servidor de comando | Stripe (metadados de cliente) | Armazena e distribui o skimmer |
| Skimmer | Execução no navegador | Captura dados do cartão no checkout |
| Canal de exfiltração | Stripe API (fake customers) | Envia dados roubados via api.stripe.com |
Como tanto o payload quanto os dados roubados transitam por api.stripe.com e googletagmanager.com, o tráfego malicioso se mistura com comunicações legítimas que praticamente qualquer loja virtual permite. Políticas de Content Security Policy (CSP) e filtros de rede não detectam a anomalia.
Campanha ativa desde 2025
Registros analisados pela Sansec indicam que o customer do Stripe usado como servidor C2 foi criado em 24 de dezembro de 2025, o que sugere que a campanha opera há pelo menos seis meses. O email e o prefixo de fatura do registro são cópias de dados de exemplo do próprio Stripe, indicando que o atacante construiu a infraestrutura a partir de templates padrão da plataforma.
O skimmer usa ofuscação pesada e foi projetado especificamente para lojas Magento, buscando elementos como .action.primary.checkout e campos com autocomplete de cartão de crédito. A técnica de dividir o código em chunks nos metadados dificulta a detecção por scanners de segurança convencionais. Essa abordagem se soma a outras técnicas de infecção de sites que exploram serviços legítimos para camuflagem, e lembra o caso em que malware no npm usou o Hugging Face como canal de exfiltração.
Como se proteger
Lojistas que usam Magento ou outras plataformas de e-commerce devem auditar imediatamente seus containers do Google Tag Manager, verificando se há tags customizadas desconhecidas. Revise as permissões de acesso ao GTM e restrinja quem pode adicionar ou modificar tags. Implemente monitoramento de integridade de scripts em páginas de checkout com tools como Subresource Integrity (SRI). Considere o uso de Content Security Policy restritiva que bloqueie execução de scripts inline não autorizados. Verifique os logs de acesso à API Stripe em busca de padrões anômalos de criação de clientes com grandes volumes de metadados.