
Uma nova e sofisticada vaga de ciberataques está a utilizar a própria infraestrutura da Stripe para esconder e alojar scripts desenhados para roubar cartões de crédito em lojas online. Conforme avançado pelo BleepingComputer, o ataque baseia-se na confiança implícita que as plataformas de comércio eletrónico depositam nos domínios legítimos da Stripe e do Google Tag Manager. Desta forma, os atacantes conseguem contornar as regras de segurança tradicionais sem levantar quaisquer suspeitas nos filtros de rede.
A descoberta foi feita por investigadores da Sansec, uma empresa especializada em segurança para comércio eletrónico. Segundo os especialistas, esta nova família de malware é injetada a partir de um contentor do Google Tag Manager (GTM), sendo executada automaticamente assim que um cliente acede à página de finalização de compra (checkout). Ao utilizar caminhos de rede autorizados, a ameaça passa completamente despercebida pelas Políticas de Segurança de Conteúdo (CSP) das lojas afetadas.
Como funciona o roubo de dados na Stripe
O esquema destaca-se pela sua criatividade maliciosa ao transformar a Stripe num servidor de armazenamento de dados roubados. Quando o utilizador avança para o pagamento em plataformas como o Magento ou Adobe Commerce, o script malicioso ativa-se e recolhe todos os dados sensíveis inseridos: números de cartões, datas de validade, códigos CVV, nomes e dados de faturação.
Em vez de enviar os dados imediatamente para um servidor desconhecido — o que faria soar os alarmes de segurança —, o código junta a informação numa única linha de texto encriptada. Pouco tempo depois, uma rotina secundária divide esse bloco de dados e cria um registo de cliente falso diretamente na API da Stripe. Cada cartão roubado passa a figurar como um cliente fictício na conta do atacante, recorrendo aos campos de metadados legítimos da plataforma para guardar o espólio.
Alternativa com bases de dados na nuvem
Os investigadores da Sansec identificaram ainda uma variação desta campanha que deixa a Stripe de lado e recorre ao Google Firestore, um serviço de bases de dados na nuvem. Neste cenário alternativo, o payload malicioso é descarregado a partir de um projeto disfarçado com nomes associados a aplicações de pagamento e sistemas de proteção contra bots, permitindo que o tráfego se misture de forma eficaz com as comunicações normais da loja online.
Os indícios apontam que o registo original na Stripe utilizado para esta operação foi criado a 24 de dezembro de 2025, o que sugere que a campanha poderá estar ativa desde o final do ano passado. Para os consumidores que procuram mitigar os riscos associados a este tipo de skimming digital, a utilização de cartões virtuais temporários com limites de utilização definidos continua a ser uma das defesas mais eficazes disponíveis.












Nenhum comentário
Seja o primeiro!