Los cazadores de amenazas advierten de una sofisticada campaña de skimmer web que aprovecha una interfaz de programación de aplicaciones heredadas (API) de la franja del procesador de cuota para validar la información de cuota robada antiguamente de la exfiltración.
«Esta táctica asegura que solo se envíen datos de plástico válidos a los atacantes, lo que hace que la operación sea más capaz y potencialmente más difícil de detectar», dijeron los investigadores de JSCrambler Pedro Fortuna, David Alves y Pedro Marrucho en un crónica.
Se estima que hasta 49 comerciantes fueron afectados por la campaña hasta la momento. Quince de los sitios comprometidos han tomado medidas para eliminar las inyecciones de guiones maliciosos. Se evalúa la actividad en curso desde al menos el 20 de agosto de 2024.
Los detalles de la campaña fueron marcados por primera vez por la defensa fuente de la firma de seguridad alrededor de fines de febrero de 2025, detallando el uso del skimmer web de la API «API.stripe (.) Com/V1/Sources», que permite que las aplicaciones acepten varios métodos de cuota. Desde entonces, el punto final se ha desapercido a atención de la nueva API de PaymetMethods.
Las cadenas de ataque emplean dominios maliciosos como el punto de distribución auténtico para el skimmer de JavaScript que está diseñado para interceptar y ocultar el formulario de cuota auténtico en las páginas de cuota de pedidos, servir una réplica de la pantalla de cuota de rayas legítimas, validarlo utilizando la API de fuentes, y luego transmitirlo a un servidor remoto en formato Base64-codificado.
Jscrambler dijo que los actores de amenaza detrás de la operación probablemente aprovechen las vulnerabilidades y las configuraciones erróneas en WooCommerce, WordPress y Prestashop para implantar el banderín de la etapa auténtico. Este script de cargador sirve para descifrar y exhalar una próxima etapa codificada en Base64, que, a su vez, contiene la URL que apunta al Skimmer.
«El banderín de descremado esconde el iframe de rayas auténtico y lo superpone con uno bellaco diseñado para imitar su apariencia», dijeron los investigadores. «Incluso clama el retoño ‘Place Order’, ocultando el vivo».
Una vez que se exfiltran los detalles, los usuarios se muestran un mensaje de error, pidiéndoles que vuelvan a cargar las páginas. Hay alguna evidencia que sugiere que la carga útil final de Skimmer se genera utilizando algún tipo de aparejo correcto al hecho de que el script parece estar adaptado a cada sitio dirigido.
La compañía de seguridad señaló adicionalmente que descubrió guiones de skimmer que se sufra un formulario de cuota cuadrado, lo que sugiere que los actores de amenaza probablemente se dirigen a varios proveedores de servicios de cuota. Y eso no es todo. El código de descremado incluso se ha observado agregando otras opciones de cuota utilizando criptomonedas como Bitcoin, Ether (Ethereum), Tether y Litecoin.
«Esta sofisticada campaña de descremado web destaca las tácticas en crecimiento que usan los atacantes para permanecer sin ser detectados», dijeron los investigadores. «Y como bono, filtran efectivamente datos de plástico de crédito no válidos, asegurando que solo se roben credenciales válidas».
