Magecartグループに関連する脅威アクターが、StripeとGoogle Tag Manager(GTM)を悪用してクレジットカード情報を窃取する、新たなスキミング手法を開発しました。
Sansecが発見したこのキャンペーンは、StripeやGoogleといった信頼性の高いドメインの裏に悪意ある基盤を隠しています。
これらの高い信頼性を持つプラットフォームを利用することで、スキマーは標準的なコンテンツセキュリティポリシー(CSP)ルールや、未知のサーバーへの通信を遮断するネットワークフィルターを難なく回避できます。このキャンペーンは、2025年末頃から活動していたとみられています。
攻撃はコード配信、データ収集、外部送信の3段階で実行されます。まず正規のGTMコンテナがECサイトのチェックアウトページにカスタムタグを埋め込みます。
このローダーは、偽のStripe顧客メタデータから直接、悪意あるスキマーのペイロードを取得します。
ペイロードが単一フィールドに収まらないサイズであるため、攻撃者はそれを複数のチャンクに分割し、ローダーがそれらを結合して任意のリモートコードを実行する仕組みになっています。
MagentoまたはAdobe Commerceのチェックアウトページで起動したスキマーは、チェックアウトボタンを監視します。
購入者が注文を送信すると、マルウェアはクレジットカード情報、請求先住所、注文合計金額を取得します。その後、窃取したデータを特定のキーでXORエンコードし、ブラウザのローカルストレージに一時保存します。
疑惑を避けるため、外部への情報送信は最初の窃取と完全に切り離された形で行われます。バックグラウンドのタイマーが60秒ごとに動作し、ローカルストレージに窃取データが存在するかを確認します。
データが見つかった場合、ローダーはそれを2分割し、新たな偽顧客レコードとして攻撃者のStripeアカウントにアップロードします。
また研究者らは、このマルウェアの亜種も発見しています。この亜種はStripeの代わりにGoogle Firestoreを使用しており、外部送信のトラフィックを通常のボット対策チェックに偽装していると、Sansecは報告しています。
この新たなMagecart亜種の発見は、現代の脅威アクターが独自のC2サーバーを手放し、確立された信頼性の高いクラウドインフラの悪用へと移行しつつあることを、改めて浮き彫りにしています。
初期配信にGoogle Tag Managerを活用し、Stripeの顧客メタデータをペイロードの保管場所かつ外部送信先として利用することで、攻撃者は実質的にインフラを持たない攻撃チェーンを構築しています。
この手法により、悪意ある通信が無数のECプラットフォームの日常的な通信に溶け込み、これらのドメインを暗黙的に信頼する従来のネットワークフィルターやCSPを容易に回避できます。
防御担当者やセキュリティ実務者にとって、このキャンペーンは重要な課題を突きつけています。既知の悪意あるIPアドレスを遮断するだけでなく、クライアントサイドのスクリプトを厳密に監査し、サードパーティとの連携を精査し、公開されたテストキーや信頼済みクラウドサービスへの異常なAPI呼び出しを、侵害の高信頼度な指標として扱う必要があります。
翻訳元: https://cyberpress.org/magecart-abuses-stripe-c2/
