Una nueva campaña de **Magecart** está explotando activamente los mismos servicios de los que dependen los sitios de comercio electrónico para el procesamiento de pagos y el análisis: **Stripe** y **Google Tag Manager (GTM)**. Esto permite a los atacantes integrar sin problemas sus operaciones de robo de tarjetas de crédito en el tráfico web legítimo, lo que hace que la detección sea significativamente más difícil. ### La Estrategia Engañosa Investigadores de la empresa de seguridad para comercio electrónico **Sansec** descubrieron esta novedosa familia de malware, señalando su dependencia de dominios implícitamente confiables: `googletagmanager.com` y `api.stripe.com`. Las tiendas en línea típicamente incluyen estos dominios en listas blancas para operaciones normales, creando inadvertidamente un punto ciego para la actividad maliciosa. **Sansec** explica: "Tanto la carga útil como las tarjetas robadas se mueven a través de `api.stripe.com`. Las tiendas permiten ese dominio por defecto, por lo que el skimmer se cuela a través de las reglas de Content Security Policy y los filtros de red que de otro modo marcarían el tráfico a un dominio de skimmer desconocido." **GTM** es un sistema ampliamente utilizado que permite a los propietarios de sitios web administrar scripts para análisis, anuncios y seguimiento sin modificar directamente el código fuente. **Stripe** es una plataforma de procesamiento de pagos prevalente para transacciones en línea. ### Cómo Opera el Skimmer El código malicioso está incrustado dentro de contenedores de **GTM** de apariencia legítima. Cuando un comprador navega a una página de pago, el skimmer se activa, poniendo en cola la API de **Stripe** para obtener un registro de cliente específico (por ejemplo, `cus_TfFjAAZQNOYENR`). De los campos de metadatos de este registro, el malware lee y reensambla código JavaScript, que luego ejecuta usando `new Function()`. Este skimmer de tarjetas se dirige específicamente a las páginas de pago de **Magento/Adobe Commerce**. Intenta capturar una amplia gama de datos de pago y personales, incluidos números de tarjetas de crédito, fechas de vencimiento, códigos CVV, nombres de clientes, direcciones de facturación y correo electrónico, y números de teléfono.  ### Exfiltración Encubierta de Datos En lugar de una exfiltración inmediata, los datos robados se concatenan primero en una sola cadena, se ofuscan mediante una operación XOR y se almacenan localmente. Una rutina separada maneja la recuperación de datos, ejecutándose después de cada carga de página y luego cada minuto a partir de entonces. Esta rutina divide el bloque de datos ofuscado, crea un nuevo objeto de cliente de **Stripe** y almacena la información robada dentro de sus campos de metadatos. Esencialmente, cada tarjeta de pago comprometida se convierte en un registro de cliente falso en la cuenta de **Stripe** del atacante, transformando a **Stripe** en un backend de almacenamiento para datos ilícitos. Una vez que los datos se copian con éxito a la cuenta de **Stripe** del atacante, el archivo local se borra. Este paso crucial elimina rastros del ataque y evita cargas duplicadas, lo que hace que el análisis forense sea más desafiante.  ### La Variante de Google Firestore **Sansec** también descubrió una variante de esta campaña que utiliza **Google Firestore**, un servicio de base de datos en la nube, en lugar de **Stripe** para el almacenamiento y la recuperación de datos. En esta versión, la carga útil se recupera de un documento de Firestore llamado `tracking/captcha` dentro de un proyecto llamado `braintree-payment-app`. Los datos robados se almacenan luego en una clave diferente de `localStorage` (`_d_data_customer_`). El uso de nombres de documentos y proyectos de apariencia inocua ayuda al malware a mezclarse aún más con el tráfico legítimo de pagos y protección contra bots. ### Cronología y Protección Se informa que el registro de cliente de **Stripe** que contiene la carga útil del skimmer se creó el 24 de diciembre de 2025, lo que sugiere que esta sofisticada operación puede haber estado activa durante algún tiempo. Para los usuarios, una defensa principal contra tales riesgos es el uso de tarjetas virtuales de un solo uso con límites de gasto preestablecidos, lo que puede mitigar significativamente el impacto de los detalles de pago comprometidos.