Una nuova campagna contro negozi Magento e Adobe Commerce mostra quanto gli attacchi agli e-commerce siano diventati più difficili da individuare quando sfruttano servizi considerati affidabili.
Secondo i ricercatori di Sansec, la campagna segnalata avrebbe usato Google Tag Manager e l’API di Stripe come copertura per nascondere codice malevolo durante il checkout. L’obiettivo era rubare dati di pagamento facendo passare uno skimmer per carte di credito dentro strumenti che browser e sistemi di protezione trattano normalmente come sicuri. Per i negozi basati su Magento e Adobe Commerce, il caso conferma l’importanza di controllare script, tag e integrazioni esterne, non solo plugin e aggiornamenti.
Magento violati, GTM usato come esca e chiamate a Stripe: la catena dell’attacco
La campagna parte dalla violazione di alcuni siti Magento/Adobe Commerce. Una volta dentro, gli attaccanti inseriscono un container Google Tag Manager malevolo. A prima vista non si nota nulla di strano: GTM è uno strumento usatissimo da negozi online, agenzie e team marketing per gestire script di tracciamento, analytics e pixel pubblicitari senza mettere mano ogni volta al codice del sito.
Ed è proprio questa normalità a rendere l’attacco più difficile da vedere. Quando l’utente visita lo store, il browser carica il container da googletagmanager.com. Poi, arrivato alla pagina di pagamento, quel codice effettua una richiesta verso api.stripe.com, un dominio che molti e-commerce hanno già autorizzato nelle proprie regole di sicurezza. Sansec ha spiegato che il codice non recupera un normale elemento di pagamento, ma un record cliente controllato dagli attaccanti. Dentro quel record sono nascosti piccoli frammenti di JavaScript malevolo. Pezzi separati, poco appariscenti, che vengono poi rimessi insieme direttamente nel browser.
Così lo skimmer copia le carte al checkout e le nasconde nei customer object di Stripe
Una volta ricostruito, lo skimmer inizia a controllare la pagina di checkout e copia quello che la vittima digita: numero della carta, CVV, nome, indirizzo e altri dati necessari per completare una transazione. Non spedisce subito tutto a un server sospetto, una mossa che avrebbe potuto far scattare controlli di rete o avvisi più evidenti. Il malware mette invece insieme le informazioni in un’unica stringa, le offusca con una tecnica XOR e le conserva per poco tempo nel browser.
Poi crea un falso cliente su Stripe, divide i dati rubati in due parti e li carica dentro un customer object collegato all’account controllato dai criminali. “Sia il payload sia le carte rubate passano attraverso api.stripe.com”, ha spiegato Sansec nella sua analisi. In questo modo lo skimmer si confonde con traffico che sembra legittimo. Una procedura pulita, quasi burocratica. Ed è qui che sta il rischio.
Domini trusted e Content Security Policy non bastano più a difendere gli e-commerce
Il caso mette in luce un limite concreto delle difese basate soltanto su domini fidati e regole di Content Security Policy. Molti negozi online consentono, per necessità, il caricamento di risorse da Google Tag Manager e le comunicazioni con Stripe, perché entrambi fanno parte della normale attività di vendita. Ma se uno di questi canali viene usato in modo illecito, il traffico malevolo può sembrare regolare a firewall, filtri e strumenti di controllo meno precisi.
Per chi gestisce un e-commerce, la lezione è molto pratica: controllare i container GTM, ridurre gli script di terze parti, tenere d’occhio modifiche sospette nelle pagine di checkout e verificare quali chiamate partono verso i servizi di pagamento. Secondo le informazioni pubblicate, non è stato indicato il numero totale dei negozi colpiti né quello delle carte sottratte. A preoccupare gli analisti, però, è soprattutto il metodo: usa componenti comuni, già presenti nei siti, e trasforma strumenti legittimi in una copertura per il furto di dati di pagamento.
