Perfekt getarnt: Wie Magecart-Angreifer Stripe zur eigenen Schaltzentrale machen
Die von Sicherheitsforschern entdeckte Kampagne tarnt ihren JavaScript Code und die erbeuteten Kreditkartendaten hinter den eigentlich sicheren Domains googletagmanager.com und api.stripe.com [17][15]. Weil der Datenverkehr von und zu vertrauten Services auszugehen scheint, bleiben die Angriffe so lange unentdeckt –...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Eine seit Dezember 2025 aktive Bedrohung erreicht eine neue Stufe der Tarnung: Sicherheitsforscher von Sansec und BleepingComputer haben eine Magecart-Kampagne aufgedeckt, bei der die eigene Infrastruktur von Stripe – genauer gesagt die Testumgebung – als Kommando- und Exfiltrationsserver dient . Die Angreifer operieren dabei komplett, ohne auf eine einzige verdächtige externe Domain zuzugreifen. Sowohl das Einschleusen des Diebstahlcodes als auch das Abliefern der gestohlenen Zahlungsdaten laufen über googletagmanager.com und api.stripe.com. Diese Domains sind für den modernen E-Commerce so essenziell, dass sie kaum ein Shopbetreiber blockieren oder genau kontrollieren würde. Parallel zu dieser hochgradig getarnten Kampagne wird die kritische Sicherheitslücke CVE-2026-3300 im WordPress-Plugin Everest Forms Pro aktiv ausgenutzt. Sie erlaubt unautorisierten Angreifern die Ausführung von beliebigem PHP-Code und die vollständige Übernahme betroffener Webseiten .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Perfekt getarnt: Wie Magecart-Angreifer Stripe zur eigenen Schaltzentrale machen“?
Die von Sicherheitsforschern entdeckte Kampagne tarnt ihren JavaScript Code und die erbeuteten Kreditkartendaten hinter den eigentlich sicheren Domains googletagmanager.com und api.stripe.com [17][15].
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Die von Sicherheitsforschern entdeckte Kampagne tarnt ihren JavaScript Code und die erbeuteten Kreditkartendaten hinter den eigentlich sicheren Domains googletagmanager.com und api.stripe.com [17][15]. Weil der Datenverkehr von und zu vertrauten Services auszugehen scheint, bleiben die Angriffe so lange unentdeckt – ein Albtraum für Firewalls und herkömmliche Überwachungstools [16].
Was soll ich als nächstes in der Praxis tun?
Umfassender Schutz erfordert mehrere Maßnahmen: den strikten Zugriff auf den Google Tag Manager, die Überprüfung der Sicherheitsrichtlinien (CSP) und sofortige Updates für das anfällige WordPress Plugin Everest Forms...
Der Drei-Stufen-Angriff: So wird Stripe zur Datenfalle
Die Kampagne läuft in drei verschleierten Schritten ab, die perfekt ineinandergreifen und gezielt legitime Services für illegitime Zwecke einspannen .
Stufe 1: Den Köder über den Google Tag Manager einschleusen
Zunächst verschaffen sich Angreifer Zugriff auf den Google Tag Manager (GTM)-Container eines Onlineshops. Sie platzieren dort ein bösartiges Skript, das auf jeder einzelnen Seite ausgeführt wird. Da das Skript von googletagmanager.com geladen wird, einer weltweit vertrauten Analyse-Domain, passiert es unbemerkt alle typischen Content-Security-Policies und Werbeblocker . Der GTM wird so zum universellen und praktisch unblockbaren Einfallstor.
Stufe 2: Die Schadsoftware aus Stripes sicherer Umgebung laden
Anstatt eine auffällige Verbindung zu einem externen Server aufzubauen, fordert das eingeschleuste GTM-Tag den ausführbaren Schadcode von der API von Stripe an. Die Angreifer speichern den vollständigen JavaScript-Skimmer in einem sogenannten Kunden-Metadatenfeld ihres eigenen Stripe-Accounts. Möglich wird dies durch die Nutzung eines Test-Secret-Keys (sk_test_...), mit dem beliebig viele Kundenprofile und Metadaten kostenlos geschrieben und gelesen werden können . Die Schadsoftware kommt somit von einer Domain, die Shopbetreiber als Teil ihres Zahlungssystems implizit vertrauen, sodass Netzwerküberwachung und Sicherheitsrichtlinien die API-Aufrufe selten als verdächtig einstufen.
Stufe 3: Die gestohlenen Daten unauffällig zurückleiten
Gibt ein Käufer im Checkout seine Kreditkartendaten, persönlichen Informationen und Rechnungsadressen ein, fängt der injizierte Skimmer diese ab und sendet sie zurück an den Stripe-Account der Kriminellen. Die erbeuteten Informationen werden dort als neue, gefälschte Kundenprofile oder in Form von Metadateneinträgen gespeichert . Da auch dieser abgehende Datenverkehr über api.stripe.com läuft, verschmilzt er nahtlos mit dem legitimen Zahlungsverkehr des Shops und ist für Firewall-Logs und Anomalie-Erkennungen so gut wie unsichtbar .
Die gesamte Operation ist Forschern zufolge mindestens seit dem 24. Dezember 2025 aktiv .
Warum Test-Secret-Keys so gefährlich sind
Stripe stellt für seine Entwickler zwei Modi zur Verfügung: den Live-Modus für echte Zahlungen und den Test-Modus, eine isolierte Sandbox-Umgebung. Ein Test-Secret-Key (sk_test_...) gewährt in dieser Umgebung volle Lese- und Schreibrechte und erlaubt es, unbegrenzt und kostenlos gefälschte Kundendaten oder Metafelder anzulegen . Weil Test-Keys nie echte Zahlungen auslösen, behandeln viele Unternehmen sie als risikoarm und prüfen die Aktivitäten in ihrer Sandbox nicht mit der gleichen Sorgfalt wie den Live-Betrieb. Genau diese Nachlässigkeit machen sich die Angreifer zunutze.
Ein verwandtes, aber separates Risiko ist die ungeschützte Veröffentlichung von Live-Secret-Keys. Diese würden einem Angreifer direkten Zugriff auf echte Transaktionsdaten ermöglichen, bis hin zu unrechtmäßigen Rückerstattungen . Obwohl diese Kampagne Test-Keys bevorzugt, um im Verborgenen zu bleiben, ist das Grundprinzip dasselbe: Stripe-API-Schlüssel, egal ob für Test oder Live, sind hochsensible Zugangsdaten und dürfen niemals im clientseitigen Code oder in öffentlich zugänglichen Konfigurationen wie Google Tag Manager auftauchen .
CVE-2026-3300: Kritische Schwachstelle in WordPress-Plugins
Während die Stripe-Kampagne das Vertrauen in den Checkout-Prozess untergräbt, sehen sich Webseiten-Betreiber mit WordPress einer weiteren, äußerst dringenden Gefahr gegenüber: Eine kritische Sicherheitslücke im Plugin Everest Forms Pro wird aktiv ausgenutzt.
CVE-2026-3300 ist eine Schwachstelle, die es Angreifern ohne vorherige Anmeldung erlaubt, beliebigen Schadcode auszuführen. Sicherheitsforscher bewerten den Schweregrad mit 9,8 von 10 Punkten auf der CVSS-Skala. Die Lücke betrifft alle Versionen des kommerziellen Plugins bis einschließlich 1.9.12, das etwa 4.000 aktive Installationen zählt . Der Fehler liegt in der process_filter()-Funktion des sogenannten „Berechnungs“-Add-ons. Bei aktivierter Funktion für komplexe Berechnungen übernimmt das Plugin vom Nutzer eingegebene Werte aus Textformularfeldern, setzt diese unbearbeitet direkt zu einem PHP-Code-String zusammen und führt das Ergebnis mit dem Befehl eval() auf dem Server aus . Die eigentlich zur Bereinigung vorgesehene sanitize_text_field()-Funktion filtert einfache Anführungszeichen und andere für PHP-Kontext gefährliche Zeichen nicht heraus .
Das Sicherheitsunternehmen Wordfence hat eigenen Angaben zufolge bereits über 29.300 Exploit-Versuche blockiert, die seit dem 13. April 2026 laufen . Berichten zufolge legen die Angreifer nach erfolgreicher Attacke oft neue Administrator-Konten an, um die dauerhafte Kontrolle über die Webseite zu behalten. Betreiber sollten sofort nach unbekannten Admin-Nutzern, ungewöhnlichen Dateien auf dem Server oder verdächtigen ausgehenden Netzwerkverbindungen suchen .
Schutzmaßnahmen gegen beide Bedrohungen
Die Stripe-Angriffskette stoppen
Google Tag Manager absichern. Lassen Sie nur genehmigte, geprüfte Tags in GTM-Containern zu. Die Veröffentlichung neuer Tags muss einem strengen Änderungsmanagement unterliegen .
Content Security Policy (CSP) verschärfen. Entfernen Sie api.stripe.com aus der script-src-Direktive, wenn es dort steht. Falls die Domain für Skripte benötigt wird, sollten Sie Subresource-Integrity-Hashes (SRI) erzwingen. Ein generelles Blockieren von Inline-Skripten bietet zusätzlichen Schutz .
Aktivitäten in der Stripe-Sandbox überwachen. Behalten Sie Ihr Stripe-Dashboard im Auge, insbesondere ungewöhnlich viele neu angelegte Kundenprofile oder Metadaten-Schreibvorgänge mit Test-Keys. Anomalien im Test-Modus müssen mit dem gleichen Ernst behandelt werden wie solche im Live-Modus.
API-Schlüssel rotieren und schützen. Weder Test- noch Live-Secret-Keys gehören in clientseitigen Code, GTM-Variablen oder öffentlich zugängliche Dateien . Sperren Sie jeden Schlüssel, der versehentlich offengelegt wurde .
Clientseitige Überwachung einsetzen. Nutzen Sie Tools für Integritätschecks im Browser, die unautorisierte Manipulationen am Checkout durch Skripte erkennen können .
Die Lücke in Everest Forms Pro schließen
Sofort aktualisieren. Installieren Sie unverzüglich die Version 1.9.13 oder höher des Plugins, die den Fix enthält .
Schwachstelle temporär entschärfen. Wenn ein sofortiges Update nicht möglich ist, deaktivieren Sie die „Komplexe Berechnungen“-Funktion in den Plugin-Einstellungen, um den Angriffsweg über die ungeschützte eval()-Schnittstelle zu schließen .
Nach Anzeichen einer Kompromittierung suchen. Kontrollieren Sie die WordPress-Installation auf unbekannte Admin-Accounts, unerwartete Dateien im Dateisystem und verdächtige eval()-Aufrufe. Führen Sie nach der Bereinigung eine vollständige Integritätsprüfung aller Dateien des WordPress-Kerns, der Themes und Plugins durch .
Comments
0 comments