Uma nova campanha **Magecart** está explorando ativamente os próprios serviços em que os sites de e-commerce confiam para processamento de pagamentos e análise: **Stripe** e **Google Tag Manager (GTM)**. Isso permite que os atacantes integrem suas operações de roubo de cartões de crédito ao tráfego web legítimo de forma transparente, tornando a detecção significativamente mais difícil. ### A Estratégia Enganosa Pesquisadores da empresa de segurança de e-commerce **Sansec** descobriram essa nova família de malware, observando sua dependência de domínios implicitamente confiáveis: `googletagmanager.com` e `api.stripe.com`. Lojas online normalmente colocam esses domínios em listas de permissões para operações normais, criando inadvertidamente um ponto cego para atividades maliciosas. A **Sansec** explica: "Tanto o payload quanto os cartões roubados transitam por `api.stripe.com`. As lojas permitem esse domínio por padrão, então o skimmer passa pelas regras de Content Security Policy e filtros de rede que, de outra forma, sinalizariam o tráfego para um domínio de skimmer desconhecido." O **GTM** é um sistema amplamente utilizado que permite aos proprietários de sites gerenciar scripts para análise, anúncios e rastreamento sem modificar diretamente o código-fonte. O **Stripe** é uma plataforma de processamento de pagamentos prevalente para transações online. ### Como o Skimmer Opera O código malicioso é incorporado em contêineres **GTM** com aparência legítima. Quando um comprador navega para uma página de checkout, o skimmer é ativado, enfileirando a API do **Stripe** para buscar um registro de cliente específico (por exemplo, `cus_TfFjAAZQNOYENR`). A partir dos campos de metadados desse registro, o malware lê e remonta o código JavaScript, que ele então executa usando `new Function()`. Este skimmer de cartão ataca especificamente páginas de checkout **Magento/Adobe Commerce**. Ele tenta capturar uma gama abrangente de dados de pagamento e pessoais, incluindo números de cartão de crédito, datas de validade, códigos CVV, nomes de clientes, endereços de faturamento e e-mail, e números de telefone.  ### Exfiltração Discreta de Dados Em vez de exfiltração imediata, os dados roubados são primeiro concatenados em uma única string, ofuscados usando uma operação XOR e armazenados localmente. Uma rotina separada lida com a recuperação de dados, executando após cada carregamento de página e, em seguida, a cada minuto depois disso. Essa rotina divide o bloco de dados ofuscado, cria um novo objeto de cliente **Stripe** e armazena as informações roubadas em seus campos de metadados. Essencialmente, cada cartão de pagamento comprometido se torna um registro de cliente falso na conta **Stripe** do atacante, transformando o próprio **Stripe** em um backend de armazenamento para dados ilícitos. Uma vez que os dados são copiados com sucesso para a conta **Stripe** do atacante, o arquivo local é apagado. Essa etapa crucial elimina vestígios do ataque e evita uploads duplicados, tornando a análise forense mais desafiadora.  ### A Variante Google Firestore A **Sansec** também descobriu uma variante dessa campanha que utiliza o **Google Firestore**, um serviço de banco de dados em nuvem, em vez do **Stripe** para armazenamento e recuperação de dados. Nesta versão, o payload é recuperado de um documento Firestore chamado `tracking/captcha` dentro de um projeto chamado `braintree-payment-app`. Os dados roubados são então armazenados em uma chave `localStorage` diferente (`_d_data_customer_`). O uso de nomes de documentos e projetos com sonoridade inocente ajuda o malware a se misturar ainda mais com o tráfego legítimo de pagamentos e proteção contra bots. ### Cronograma e Proteção O registro de cliente **Stripe** contendo o payload do skimmer foi supostamente criado em 24 de dezembro de 2025, sugerindo que essa operação sofisticada pode estar ativa há algum tempo. Para os usuários, uma defesa primária contra tais riscos é o uso de cartões virtuais de uso único com limites de gastos pré-definidos, o que pode mitigar significativamente o impacto de detalhes de pagamento comprometidos.