Eine neue **Magecart**-Kampagne nutzt aktiv die Dienste aus, auf die E-Commerce-Websites für Zahlungsabwicklung und Analysen angewiesen sind: **Stripe** und **Google Tag Manager (GTM)**. Dies ermöglicht es Angreifern, ihre Kreditkarten-Skimming-Operationen nahtlos in legitimen Webverkehr zu integrieren, was die Erkennung erheblich erschwert. ### Die trügerische Strategie Forscher des E-Commerce-Sicherheitsunternehmens **Sansec** haben diese neuartige Malware-Familie aufgedeckt und auf ihre Abhängigkeit von implizit vertrauenswürdigen Domains hingewiesen: `googletagmanager.com` und `api.stripe.com`. Online-Shops erlauben diese Domains normalerweise für den normalen Betrieb, was unweigerlich eine blinde Stelle für bösartige Aktivitäten schafft. **Sansec** erklärt: „Sowohl die Payload als auch die gestohlenen Karten werden über `api.stripe.com` übertragen. Stores erlauben diese Domain standardmäßig, sodass der Skimmer Content Security Policy-Regeln und Netzwerkfilter umgeht, die ansonsten den Verkehr zu einer unbekannten Skimmer-Domain melden würden.“ **GTM** ist ein weit verbreitetes System, das es Website-Betreibern ermöglicht, Skripte für Analysen, Werbung und Tracking zu verwalten, ohne den Quellcode direkt zu ändern. **Stripe** ist eine weit verbreitete Zahlungsplattform für Online-Transaktionen. ### Wie der Skimmer funktioniert Der bösartige Code ist in legitim aussehende **GTM**-Container eingebettet. Wenn ein Käufer eine Checkout-Seite besucht, wird der Skimmer aktiviert und fordert die **Stripe** API auf, einen bestimmten Kundendatensatz abzurufen (z. B. `cus_TfFjAAZQNOYENR`). Aus den Metadatenfeldern dieses Datensatzes liest die Malware JavaScript-Code aus, den sie dann mit `new Function()` ausführt. Dieser Kartenskimmer zielt speziell auf die Checkout-Seiten von **Magento/Adobe Commerce** ab. Er versucht, eine umfassende Palette von Zahlungs- und persönlichen Daten zu erfassen, darunter Kreditkartennummern, Ablaufdaten, CVV-Codes, Kundennamen, Rechnungs- und E-Mail-Adressen sowie Telefonnummern.  ### Verdeckte Datenexfiltration Anstatt einer sofortigen Exfiltration werden die gestohlenen Daten zunächst zu einem einzigen String verkettet, mittels einer XOR-Operation verschleiert und lokal gespeichert. Eine separate Routine kümmert sich um den Datenabruf, der nach jedem Seitenaufruf und dann jede Minute danach ausgeführt wird. Diese Routine teilt den verschleierten Datenblock auf, erstellt ein neues **Stripe**-Kundenobjekt und speichert die gestohlenen Informationen in dessen Metadatenfeldern. Im Wesentlichen wird jede kompromittierte Zahlungskarte zu einem gefälschten Kundenkonto im **Stripe**-Konto des Angreifers, wodurch **Stripe** selbst zu einem Speicher-Backend für illegale Daten wird. Sobald die Daten erfolgreich in das **Stripe**-Konto des Angreifers kopiert wurden, wird die lokale Datei gelöscht. Dieser entscheidende Schritt eliminiert Spuren des Angriffs und verhindert doppelte Uploads, was die forensische Analyse erschwert.  ### Die Google Firestore-Variante **Sansec** hat auch eine Variante dieser Kampagne aufgedeckt, die **Google Firestore**, einen Cloud-Datenbankdienst, anstelle von **Stripe** für die Datenspeicherung und den -abruf nutzt. In dieser Version wird die Payload aus einem Firestore-Dokument namens `tracking/captcha` in einem Projekt namens `braintree-payment-app` abgerufen. Die gestohlenen Daten werden dann in einem anderen `localStorage`-Schlüssel (`_d_data_customer_`) gespeichert. Die Verwendung von harmlos klingenden Namen für Dokumente und Projekte hilft der Malware, sich weiter mit legitimen Zahlungs- und Bot-Schutzdaten zu vermischen. ### Zeitplan und Schutz Der **Stripe**-Kundenkontakt, der die Skimmer-Payload enthielt, wurde Berichten zufolge am 24. Dezember 2025 erstellt, was darauf hindeutet, dass diese ausgeklügelte Operation möglicherweise schon seit einiger Zeit aktiv ist. Für Benutzer ist eine primäre Verteidigung gegen solche Risiken die Verwendung von Einweg-Virtualkarten mit vordefinierten Ausgabenlimits, die die Auswirkungen kompromittierter Zahlungsdetails erheblich abmildern können.