Uma nova campanha de skimming de cartões de pagamento está demonstrando um nível preocupante de sofisticação, utilizando técnicas inovadoras para dificultar a detecção. O ataque, identificado pelos pesquisadores da Source Defense, explora uma API obsoleta do Stripe para validar detalhes do cartão antes da exfiltração, garantindo que apenas informações legítimas sejam coletadas. Essa abordagem mantém a experiência normal do cliente e impede que mecanismos de segurança detectem a fraude.
Ataque em múltiplas etapas
O ataque começa com a injeção de um script malicioso em sites comprometidos, usando domínios fraudulentos que imitam fontes legítimas:
• jqbs-get[.]store
• bsjq-online[.]store
Esses domínios distribuem um código de skimming direcionado a páginas de checkout, utilizando técnicas avançadas para identificar o momento exato da captura dos dados.
Leia também
Características inovadoras do ataque
O diferencial dessa campanha está no seu método de validação seletiva. Ao invés de roubar indiscriminadamente todos os dados, os criminosos implementaram um sistema que:
• Intercepta envios de formulários legítimos
• Substitui os elementos de pagamento do Stripe por réplicas idênticas
• Valida os dados capturados por meio da API do Stripe antes de enviá-los aos servidores maliciosos
• Mantém o processo de compra intacto para evitar suspeitas
“Este ataque representa uma evolução preocupante nas técnicas de skimming de pagamento”, alerta a equipe da Source Defense. “Os invasores criaram um mecanismo quase invisível de roubo de cartões.”
Mecânica do ataque
O processo de ataque ocorre em três fases:
- Início da invasão
O script malicioso realiza uma análise da página e, se identificar um checkout, executa comandos para carregar códigos maliciosos:
• https://jqbs-get[.]store/cdn/jquery-update.min.js?v=3.0.12
• https://bsjq-online[.]store/cdn/jquery-update.min.js?v=3.0.12
- Manipulação dos formulários
Após ser ativado, o malware:
• Remove os campos legítimos do Stripe
• Insere elementos visuais idênticos, mas comprometidos
• Captura os dados do cartão sem levantar suspeitas
- Validação e roubo de dados
O golpe se destaca pelo uso da API do Stripe para validar os cartões antes do envio aos criminosos:
• Os dados capturados são enviados para api.stripe.com/v1/sources
• Apenas cartões válidos são transmitidos para o servidor malicioso isjustour[.]site
• A compra real é finalizada automaticamente para não gerar alerta no sistema ou no usuário
Impacto na segurança do comércio eletrônico
Este ataque destaca tendências preocupantes na evolução dos golpes de skimming:
• Validação avançada: O uso de APIs legítimas garante que apenas cartões ativos sejam roubados.
• Fluidez na experiência do usuário: Como não há necessidade de digitação dupla, o ataque passa despercebido.
• Adaptação dinâmica: Se o Stripe for detectado, a API é usada. Caso contrário, métodos alternativos de validação são aplicados.
Como se proteger
Empresas que operam plataformas de e-commerce devem adotar medidas preventivas, como:
• Implementar proteções no lado do cliente para evitar scripts não autorizados
• Monitorar e validar scripts de terceiros em tempo real
• Adotar análise comportamental para detectar alterações em formulários
• Aplicar verificações adicionais para acesso às APIs de pagamento
Com a aproximação do prazo de conformidade com o PCI DSS 4.0 em março de 2025, ataques como esse reforçam a necessidade de controles de segurança rigorosos. A ilusão de que soluções baseadas em iFrames são completamente seguras pode ser perigosa.
Diante da sofisticação crescente dos cibercriminosos, apenas medidas tradicionais já não são suficientes. Empresas devem agir de forma proativa, implementando sistemas robustos de monitoramento para identificar e impedir tentativas de manipulação de formulários e injeção de código malicioso.
+Mais
Falha de segurança no ChatGPT se torna alvo de ataques
Grave falha no Apache Camel (CVE-2025-29891) exposta
Hackers usam técnicas sofisticada para rastrear vítimas no e-mail