In sintesi
Una nuova e sofisticata campagna di furto di carte di credito, identificata come “Magecart”, sta sfruttando l’infrastruttura API della piattaforma di pagamenti Stripe e Google Tag Manager (GTM) per eseguire attacchi di skimming. La scoperta è stata fatta il 4 giugno 2026 dai ricercatori di Sansec, società specializzata in sicurezza e-commerce. L’obiettivo principale è rubare dati sensibili dalle pagine di checkout di negozi online, in particolare quelli basati su Magento/Adobe Commerce. Questa strategia malevola capitalizza sulla fiducia implicita che i siti web ripongono nei domini googletagmanager.com e api.stripe.com, consentendo al malware di eludere le normali difese di sicurezza.
Il modus operandi dell’attacco è ingegnoso e multistrato. Il codice malevolo viene caricato da un container GTM apparentemente legittimo, attivandosi su ogni pagina che lo incorpora. Sansec ha rivelato che sia il payload iniziale che i dati delle carte rubate transitano attraverso api.stripe.com. Questo passaggio è cruciale, poiché molti negozi online consentono per default il traffico verso tale dominio, rendendo inefficaci le Content Security Policy (CSP) e i filtri di rete. Il codice malevolo si annida nei campi metadata di un record cliente Stripe specifico (e.g., cus_TfFjAAZQNOYENR), creato presumibilmente dal 24 dicembre 2025, data che suggerisce una potenziale operatività della campagna. Da qui, il malware legge e riassembla codice JavaScript per la sua esecuzione.
Una volta in esecuzione, lo skimmer mira a catturare un’ampia gamma di informazioni personali e di pagamento: numero della carta di credito, data di scadenza, codice CVV, nome del cliente, indirizzo di fatturazione, email e numero di telefono. I dati rubati vengono concatenati, offuscati tramite operazione XOR e archiviati localmente. Successivamente, una routine separata li recupera, creando nuovi oggetti cliente Stripe nell’account dell’attaccante e memorizzando le informazioni rubate nei relativi campi metadata. Stripe diventa così un “backend di archiviazione” per i dati illeciti, e il file locale viene poi cancellato per eliminare le tracce. Sansec ha anche scoperto una variante dell’attacco che utilizza Google Firestore, un servizio di database cloud, come alternativa a Stripe per il reperimento del payload e l’archiviazione dei dati, mascherando le sue operazioni per confondersi con il traffico legittimo.
Questa campagna evidenzia rischi significativi per qualsiasi organizzazione che tratta dati personali e di pagamento, sottolineando la necessità di un’attenzione scrupolosa alla sicurezza informatica e alla compliance. L’abuso di piattaforme e servizi di terze parti ampiamente fidati come Stripe e Google Tag Manager rende la rilevazione estremamente complessa, bypassando controlli di sicurezza standard. Per le aziende, un tale incidente rappresenta una potenziale violazione del GDPR, richiedendo la notifica alle autorità e agli interessati, oltre a gravi danni reputazionali e finanziari. La compliance con normative come il GDPR e la direttiva NIS2 impone non solo la protezione dei sistemi propri, ma anche una rigorosa gestione della sicurezza lungo l’intera catena di fornitura.
Per mitigare tali rischi, le organizzazioni dovrebbero implementare controlli di sicurezza avanzati e una vigilanza costante. È fondamentale rivedere e rafforzare le Content Security Policy (CSP) per limitare i domini da cui possono essere caricati gli script, anche se apparentemente affidabili. Un’analisi approfondita delle configurazioni di Google Tag Manager è cruciale per identificare eventuali container o script non autorizzati. Sebbene i clienti possano proteggersi utilizzando carte virtuali monouso, le aziende devono assicurarsi che i propri sistemi e procedure siano resilienti, anche attraverso test di simulazion