Los cazadores de amenazas advierten de una sofisticada campaña de skimmer web que aprovecha una interfaz de programación de aplicaciones heredadas (API) de la franja del procesador de pago para validar la información de pago robada antes de la exfiltración.
«Esta táctica asegura que solo se envíen datos de tarjeta válidos a los atacantes, lo que hace que la operación sea más eficiente y potencialmente más difícil de detectar», dijeron los investigadores de JSCrambler Pedro Fortuna, David Alves y Pedro Marrucho en un informe.
Se estima que hasta 49 comerciantes fueron afectados por la campaña hasta la fecha. Quince de los sitios comprometidos han tomado medidas para eliminar las inyecciones de guiones maliciosos. Se evalúa la actividad en curso desde al menos el 20 de agosto de 2024.
Los detalles de la campaña fueron marcados por primera vez por la defensa fuente de la firma de seguridad hacia fines de febrero de 2025, detallando el uso del skimmer web de la API «API.stripe (.) Com/V1/Sources», que permite que las aplicaciones acepten varios métodos de pago. Desde entonces, el punto final se ha desapercido a favor de la nueva API de PaymetMethods.
Las cadenas de ataque emplean dominios maliciosos como el punto de distribución inicial para el skimmer de JavaScript que está diseñado para interceptar y ocultar el formulario de pago legítimo en las páginas de pago de pedidos, servir una réplica de la pantalla de pago de rayas legítimas, validarlo utilizando la API de fuentes, y luego transmitirlo a un servidor remoto en formato Base64-codificado.
Jscrambler dijo que los actores de amenaza detrás de la operación probablemente aprovechen las vulnerabilidades y las configuraciones erróneas en WooCommerce, WordPress y Prestashop para implantar el guión de la etapa inicial. Este script de cargador sirve para descifrar y lanzar una próxima etapa codificada en Base64, que, a su vez, contiene la URL que apunta al Skimmer.
«El guión de descremado esconde el iframe de rayas legítimo y lo superpone con uno malicioso diseñado para imitar su apariencia», dijeron los investigadores. «También clama el botón ‘Place Order’, ocultando el real».
Una vez que se exfiltran los detalles, los usuarios se muestran un mensaje de error, pidiéndoles que vuelvan a cargar las páginas. Hay alguna evidencia que sugiere que la carga útil final de Skimmer se genera utilizando algún tipo de herramienta debido al hecho de que el script parece estar adaptado a cada sitio dirigido.
La compañía de seguridad señaló además que descubrió guiones de skimmer que se sufra un formulario de pago cuadrado, lo que sugiere que los actores de amenaza probablemente se dirigen a varios proveedores de servicios de pago. Y eso no es todo. El código de descremado también se ha observado agregando otras opciones de pago utilizando criptomonedas como Bitcoin, Ether (Ethereum), Tether y Litecoin.
«Esta sofisticada campaña de descremado web destaca las tácticas en evolución que usan los atacantes para permanecer sin ser detectados», dijeron los investigadores. «Y como bono, filtran efectivamente datos de tarjeta de crédito no válidos, asegurando que solo se roben credenciales válidas».