Auf einen Blick
Eine neue und hochentwickelte Kampagne zum Kreditkartendiebstahl, identifiziert als „Magecart“, nutzt die API-Infrastruktur der Zahlungsplattform Stripe und Google Tag Manager (GTM), um Skimming-Angriffe durchzuführen. Die Entdeckung wurde am 4. Juni 2026 von Forschern von Sansec gemacht, einem auf E-Commerce-Sicherheit spezialisierten Unternehmen. Das Hauptziel ist es, sensible Daten von den Checkout-Seiten von Online-Shops zu stehlen, insbesondere von solchen, die auf Magento/Adobe Commerce basieren. Diese bösartige Strategie nutzt das implizite Vertrauen aus, das Websites in die Domains googletagmanager.com und api.stripe.com setzen, wodurch die Malware normale Sicherheitsvorkehrungen umgehen kann.
Das Modus Operandi des Angriffs ist ausgeklügelt und mehrschichtig. Der bösartige Code wird von einem scheinbar legitimen GTM-Container geladen und auf jeder Seite aktiviert, die ihn einbindet. Sansec hat offengelegt, dass sowohl die anfängliche Payload als auch die gestohlenen Kartendaten über api.stripe.com übertragen werden. Dieser Schritt ist entscheidend, da viele Online-Shops den Datenverkehr zu dieser Domain standardmäßig zulassen, wodurch Content Security Policies (CSP) und Netzwerkfilter unwirksam werden. Der bösartige Code verbirgt sich in den Metadatenfeldern eines spezifischen Stripe-Kundenrecords (z.B. cus_TfFjAAZQNOYENR), der vermutlich seit dem 24. Dezember 2025 erstellt wurde, ein Datum, das auf eine potenzielle Aktivität der Kampagne hindeutet. Von hier aus liest und setzt die Malware JavaScript-Code für ihre Ausführung zusammen.
Sobald der Skimmer ausgeführt wird, zielt er darauf ab, eine breite Palette persönlicher und Zahlungsinformationen zu erfassen: Kreditkartennummer, Ablaufdatum, CVV-Code, Name des Kunden, Rechnungsadresse, E-Mail und Telefonnummer. Die gestohlenen Daten werden verkettet, mittels XOR-Operation verschleiert und lokal gespeichert. Anschließend ruft eine separate Routine sie ab, erstellt neue Stripe-Kundenobjekte im Konto des Angreifers und speichert die gestohlenen Informationen in den entsprechenden Metadatenfeldern. Stripe wird so zu einem „Speicher-Backend“ für die illegalen Daten, und die lokale Datei wird anschließend gelöscht, um Spuren zu beseitigen. Sansec hat auch eine Variante des Angriffs entdeckt, die Google Firestore, einen Cloud-Datenbankdienst, als Alternative zu Stripe für das Abrufen der Payload und die Datenspeicherung nutzt und ihre Operationen tarnt, um sich mit dem legitimen Datenverkehr zu vermischen.
Diese Kampagne verdeutlicht erhebliche Risiken für jede Organisation, die personenbezogene Daten und Zahlungsdaten verarbeitet, und unterstreicht die Notwendigkeit einer sorgfältigen Aufmerksamkeit für Cybersicherheit und Compliance. Der Missbrauch weit verbreiteter und vertrauenswürdiger Drittanbieterplattformen und -dienste wie Stripe und Google Tag Manager macht die Erkennung äußerst komplex, da standardmäßige Sicherheitskontrollen umgangen werden. Für Unternehmen stellt ein solcher Vorfall eine potenzielle Verletzung der DSGVO dar, die eine Meldung an die Behörden und Betroffenen erfordert, sowie schwerwiegende Reputations- und finanzielle Schäden nach sich ziehen kann. Die Einhaltung von Vorschriften wie der DSGVO und der NIS2-Richtlinie erfordert nicht nur den Schutz der eigenen Systeme, sondern auch ein rigoroses Sicherheitsmanagement entlang der gesamten Lieferkette.
Um solche Risiken zu mindern, sollten Organisationen fortschrittliche Sicherheitskontrollen und ständige Wachsamkeit implementieren. Es ist von entscheidender Bedeutung, Content Security Policies (CSP) zu überprüfen und zu stärken, um die Domains einzuschränken, von denen Skripte geladen werden können, auch wenn sie scheinbar vertrauenswürdig sind. Eine eingehende Analyse der Google Tag Manager-Konfigurationen ist entscheidend, um nicht autorisierte Container oder Skripte zu identifizieren. Obwohl Kunden sich durch die Verwendung von einmaligen virtuellen Kreditkarten schützen können, müssen Unternehmen sicherstellen, dass ihre Systeme und Verfahren widerstandsfähig sind, auch durch Simulationstests.