Старые API Stripe используются для атак скимминга кредитных карт

Исследователи обнаружили более четырех десятков сайтов электронной коммерции, инфицированных кражами данных кредитных карт. Злоумышленники использовали устаревший API Stripe для проверки информации. Пользователям рекомендуется перейти на новый API. Устаревшие API Stripe используются для обработки мошеннических платежей на скомпрометированных сайтах электронной коммерции, предупреждают эксперты.

Исследователи Jscrambler выявили кампанию, которая ведется с конца августа 2024 года, и по меньшей мере 49 сайтов электронной коммерции были скомпрометированы с помощью кражи данных кредитных карт. Предполагается, что фактическое количество жертв намного больше, поскольку расследование все еще продолжается.

На этих 49 веб-сайтах злоумышленники вставили вредоносный код JavaScript, который накладывал поддельный страницу оформления заказа поверх легитимной страницы. Затем поддельная страница выманивала платежную информацию пользователей, а по завершении демонстрировала ложное сообщение об ошибке с просьбой перезагрузить страницу.

Злоумышленники затем использовали старый API Stripe, называемый "api.stripe[.]com/v1/sources", чтобы обрабатывать платежи. Jscrambler утверждает, что злоумышленники могли "легко сделать это позже" также с помощью ботов для кражи карт или услуг даркнета.

Однако есть преимущества обработки этой информации на стороне клиента, в основном потому, что все веб-сайты уже использовали API в рамках своего обычного потока платежей. Кроме того, многие инструменты безопасности и исследователи часто используют недействительные данные кредитных карт в своей работе, поэтому отсутствие кражи в этих случаях означает меньшую вероятность обнаружения.

Точно неизвестно, как эти сайты были скомпрометированы, но Jscrambler предполагает, что злоумышленники, вероятно, использовали разные уязвимости и неправильные настройки. WooCommerce, WordPress и PrestaShop стали объектами атак.

"Эта сложная кампания по краже данных на веб-сайтах подчеркивает эволюционирующие тактики, которые используют злоумышленники, чтобы оставаться незамеченными", - заявили исследователи. "И как бонус, они эффективно фильтруют недействительные данные кредитных карт, что гарантирует кражу только действительных учетных данных".

Лучший способ минимизировать этот риск - использовать самый новый API Stripe для обработки информации. Тот, который использовался в этих атаках, был отменен в пользу API PaymentMethods в мае 2024 года.