Magecart Skimmery Proměnily Stripe v Dokonale Maskovaný Řídicí Server
Nová kampaň Magecart objevená společností Sansec využívá testovací API Stripe k hostování škodlivého JavaScriptu i k ukládání odcizených platebních údajů, přičemž celý útok skrývá za domény, kterým důvěřuje každý inte... Útok probíhá výhradně přes googletagmanager.com a api.stripe.com, nikdy se nedotkne domény ovlád...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Bezpečnostní výzkumníci ze společností Sansec a BleepingComputer odhalili v červnu 2026 znepokojivou kampaň kyberzločinecké skupiny Magecart, která zneužívá vlastní infrastrukturu platební brány Stripe jako jednorázovou platformu pro řízení a odcizení dat . Útok je zrádný v tom, že nikdy nenačítá kód ze škodlivé domény. Celý proces – od zavaděče, přes škodlivý kód, až po odcizená data – probíhá přes domény googletagmanager.com a api.stripe.com, které jsou pro moderní e-shopy tak zásadní, že je prakticky žádný provozovatel neblokuje ani důkladně nekontroluje . Spolu s touto kampaní je aktivně zneužívána také kritická zranitelnost v pluginu Everest Forms Pro pro WordPress (CVE-2026-3300), která umožňuje neautentizovaným útočníkům spouštět libovolný PHP kód a převzít kontrolu nad zranitelnými weby .
Jak třífázový útok Magecart přes Stripe funguje
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Magecart Skimmery Proměnily Stripe v Dokonale Maskovaný Řídicí Server"?
Nová kampaň Magecart objevená společností Sansec využívá testovací API Stripe k hostování škodlivého JavaScriptu i k ukládání odcizených platebních údajů, přičemž celý útok skrývá za domény, kterým důvěřuje každý inte...
What are the key points to validate first?
Nová kampaň Magecart objevená společností Sansec využívá testovací API Stripe k hostování škodlivého JavaScriptu i k ukládání odcizených platebních údajů, přičemž celý útok skrývá za domény, kterým důvěřuje každý inte... Útok probíhá výhradně přes googletagmanager.com a api.stripe.com, nikdy se nedotkne domény ovládané útočníkem.
What should I do next in practice?
Obrana vyžaduje zpřísnění přístupu ke Google Tag Manageru, odstranění api.stripe.com z direktiv script src v Content Security Policy a okamžitou aktualizaci pluginu Everest Forms Pro na verzi vyšší než 1.9.13.
Kampaň řetězí tři fáze, z nichž každá zneužívá legitimní službu, aby se vyhnula detekci .
Fáze 1: Vložení zavaděče přes Google Tag Manager
Útočníci nejprve kompromitují kontejner Google Tag Manager (GTM) na cílovém e-shopu. Vloží do něj škodlivý tag, který se načítá na každé stránce. Protože skript pochází z googletagmanager.com, důvěryhodné domény pro analytiku, obchází typické bezpečnostní politiky (Content Security Policy) a blokátory reklam, aniž by vzbudil podezření . GTM se tak stává neblokovatelným doručovacím mechanismem.
Fáze 2: Načtení skimmeru z API Stripe
Místo aby se GTM tag obracel na podezřelý server třetí strany, požádá o škodlivý kód (skimmer) z api.stripe.com. Útočníci ukládají celý JavaScriptový skimmer do pole metadat zákazníka na svém vlastním Stripe účtu, přičemž k zápisu a čtení používají testovací tajný klíč (sk_test_...) . Skimmer tak přichází z domény, které provozovatelé obchodů implicitně důvěřují jako součásti své platební infrastruktury, takže síťový monitoring ani CSP pravidla toto API volání málokdy označí.
Fáze 3: Odeslání odcizených dat zpět na stejný Stripe účet
Když zákazník zadá během nákupu údaje o platební kartě, osobní informace a fakturační adresu, vložený skimmer tato data zachytí a odešle je zpět na útočníkův Stripe účet. Data zapisuje jako falešné záznamy o zákaznících nebo do metadatových polí pomocí stejného Stripe API . Protože exfiltrační provoz směřuje zpět na api.stripe.com, dokonale splývá s legitimními voláními platebního API, takže je pro záznamy firewallu a nástroje pro detekci anomálií prakticky neviditelný .
Podle indikátorů, které výzkumníci zaznamenali, je celá operace aktivní nejméně od 24. prosince 2025 .
Proč jsou zde testovací tajné klíče tak nebezpečné
Testovací tajné klíče Stripe (sk_test_...) poskytují plný přístup pro čtení i zápis v rámci sandboxového prostředí a umožňují neomezené vytváření falešných zákazníků a metadatových polí bez jakýchkoli nákladů . Protože testovací klíče nikdy nespouští skutečné transakce, jejich zneužití lze snadno přehlédnout. Útočníci spoléhají na to, že mnoho organizací považuje testovací klíče za málo rizikové a nekontroluje aktivitu v sandboxu se stejnou přísností jako v ostrém provozu.
Samostatnou, ale související hrozbou je odhalení ostrých tajných klíčů, které by útočníkovi poskytlo přímý přístup k reálným transakčním datům a možnost vracet platby nebo převádět prostředky . Přestože tato kampaň využívá pro utajení testovací klíče, základní princip je stejný: API klíče Stripe jsou v jakémkoli režimu silnými přístupovými údaji, které by se nikdy neměly objevit v kódu na straně klienta nebo v kontejnerech Google Tag Manageru .
CVE-2026-3300: Kritické RCE v Everest Forms Pro
Zatímco kampaň Stripe cílí na pokladní procesy e-shopů, majitelé webů na WordPressu čelí stejně naléhavé hrozbě v podobě zranitelnosti pluginu, která je aktivně zneužívána od 13. dubna 2026 .
CVE-2026-3300 je chyba umožňující neautentizované vzdálené spuštění kódu v pluginu Everest Forms Pro, který má přibližně 4 000 aktivních instalací . Zranitelnost má skóre CVSS 9,8 a postihuje všechny verze až do 1.9.12 včetně .
Chyba se nachází ve funkci process_filter() uvnitř doplňku Calculation (Výpočty). Když je povolena funkce "Complex Calculation" (Komplexní výpočty), plugin vezme hodnoty zadané uživatelem do textových polí formuláře, přímo je spojí do řetězce PHP kódu a výsledek předá funkci eval() bez řádného escapování . Funkce sanitize_text_field() aplikovaná na vstup neodstraní jednoduché uvozovky ani jiné znaky, které mají v kontextu PHP kódu speciální význam, což útočníkovi umožňuje opustit zamýšlený řetězec a vložit vlastní příkazy .
Společnost Wordfence zablokovala přes 29 300 pokusů o zneužití a hlásí, že útočníci v rámci post-exploitačního procesu vytvářejí neoprávněné administrátorské účty . Majitelé webů by měli hledat známky kompromitace, jako jsou noví administrátoři s neočekávanými jmény, neobvyklé soubory na serveru nebo podezřelá odchozí spojení .
Obranná opatření pro obě hrozby
Blokování útočného řetězce Magecart přes Stripe
Zabezpečte Google Tag Manager. Omezte GTM kontejnery pouze na schválené a auditované tagy a před publikováním vyžadujte přísné schválení změn .
Zpřísněte Content Security Policy. Neuvádějte api.stripe.com jako script-src, pokud to není nezbytně nutné. Pokud ji musíte zahrnout, vynuťte použití Subresource Integrity (SRI) hashů. Další vrstvu obrany poskytuje blokování inline skriptů .
Auditujte aktivitu v sandboxu Stripe. Sledujte ve svém Stripe dashboardu neobvyklé množství vytváření objektů zákazníků nebo zápisů metadat pod testovacími klíči. Anomálie v sandboxu berte stejně vážně jako anomálie v ostrém provozu.
Pravidelně střídejte a chraňte API klíče. Nikdy nevkládejte tajné klíče Stripe – testovací ani ostré – do klientského JavaScriptu, GTM proměnných nebo veřejných repozitářů . Jakýkoli klíč, který mohl být odhalen, okamžitě vyměňte .
Nasazení monitorování na straně klienta. Používejte kontroly integrity v prohlížeči, které detekují manipulaci s DOM na pokladních stránkách neautorizovanými skripty .
Oprava zranitelnosti Everest Forms Pro
Okamžitě aktualizujte. Proveďte upgrade na Everest Forms Pro verze 1.9.13 nebo novější, která obsahuje opravu .
Dočasně vypněte rizikovou funkci. Pokud nemůžete aktualizovat hned, vypněte v nastavení pluginu funkci "Complex Calculation" (Komplexní výpočty), abyste zabránili zneužití neošetřeného vstupu pro eval() .
Hledejte známky kompromitace. Zkontrolujte neznámé administrátorské účty, neočekávané soubory, podezřelá volání eval() a odchozí síťová spojení na neznámé IP adresy. Po nápravě je nezbytná úplná kontrola integrity WordPressu – kontrolních součtů jádra, šablon a souborů pluginů .
Comments
0 comments