Forscher haben eine neue Stripe-Skimming-Kampagne aufgedeckt, die legitime Zahlungsinfrastruktur nutzt, um gestohlene Kreditkartendaten zu sammeln und zu speichern. Die Operation richtet sich gegen Online-Shops und verwendet vertrauenswürdige Dienste, um den Angreifern dabei zu helfen, einer Entdeckung zu entgehen.

Im Gegensatz zu herkömmlichen Web-Skimming-Angriffen, bei denen gestohlene Daten an von Angreifern kontrollierte Server gesendet werden, missbraucht diese Kampagne die Plattform von Stripe selbst. Die Forscher stellten fest, dass die Kriminellen Stripe-Zahlungslinks und verwandte Dienste nutzten, um gestohlene Informationen zu speichern, wodurch die bösartige Aktivität in legitimem Datenverkehr verborgen werden konnte.

Diese Technik erschwert die Erkennung, da Sicherheitslösungen Verbindungen zu weit verbreiteten Zahlungsplattformen häufig als vertrauenswürdig einstufen.

Angreifer nehmen Magento-Shops ins Visier

Die Forscher beobachteten die Kampagne bei E-Commerce-Websites auf Basis von Magento. Nachdem ein Shop kompromittiert worden war, injizierten die Angreifer schädlichen JavaScript-Code in die Checkout-Seiten.

Wenn Kunden ihre Zahlungsinformationen eingaben, erfasste das Skript die Daten heimlich, bevor die Transaktion abgeschlossen wurde. Die Schadsoftware sammelte Kartennummern, Ablaufdaten, Namen der Karteninhaber und weitere Zahlungsinformationen, die während des Bezahlvorgangs eingegeben wurden.

Anschließend übermittelten die Angreifer die Informationen über mit Stripe verbundene Infrastruktur, anstatt sie direkt an verdächtige externe Domains zu senden.

Dieser Ansatz half der Kampagne, verborgen zu bleiben, während weiterhin Zahlungsdaten von ahnungslosen Kunden abgegriffen wurden.

Kriminelle missbrauchen Stripe-Zahlungslinks

Der ungewöhnlichste Aspekt der Operation betrifft die Art und Weise, wie die Angreifer die gestohlenen Informationen speicherten.

Die Forscher entdeckten, dass die Bedrohungsakteure Stripe-Zahlungslinks nutzten, um die gestohlenen Daten zu speichern. Anstatt eigene Server für die Datensammlung einzurichten, verwendeten die Kriminellen legitime Stripe-Ressourcen, denen viele Unternehmen bereits vertrauen.

Da Unternehmen Stripe-Dienste regelmäßig für legitime Transaktionen nutzen, können Sicherheitsprodukte Schwierigkeiten haben, normale Aktivitäten von bösartigem Verhalten zu unterscheiden.

Die Kampagne zeigt, wie Cyberkriminelle zunehmend seriöse Plattformen und Dienste missbrauchen, um ihre Angriffe zu unterstützen. Indem sie sich hinter vertrauenswürdiger Infrastruktur verstecken, können Angreifer Misstrauen reduzieren und die Lebensdauer ihrer Kampagnen verlängern.

Web-Skimming-Bedrohungen entwickeln sich weiter

Magecart-ähnliche Angriffe gehören weiterhin zu den größten Bedrohungen für Online-Händler. Diese Kampagnen konzentrieren sich darauf, Zahlungsinformationen direkt während des Checkout-Prozesses von Kunden zu stehlen.

Forscher beobachten regelmäßig, wie Bedrohungsakteure ihre Methoden verändern, um Sicherheitsmaßnahmen zu umgehen. In den vergangenen Jahren haben sich Angreifer von offensichtlichen Command-and-Control-Servern entfernt und stattdessen Techniken eingesetzt, die sich in legitimen Webverkehr einfügen.

Die aktuelle Stripe-Skimming-Kampagne spiegelt diese Entwicklung wider. Statt auf verdächtige Infrastruktur zu setzen, nutzten die Angreifer eine vertrauenswürdige Zahlungsplattform, die täglich von Millionen Unternehmen verwendet wird.

Sicherheitsteams sollten Checkout-Seiten regelmäßig überwachen, Skripte von Drittanbietern überprüfen und unerwartete Änderungen in Zahlungsabläufen untersuchen. Eine frühzeitige Erkennung bleibt entscheidend, da bereits eine einzige kompromittierte Checkout-Seite große Mengen an Kundendaten offenlegen kann.

Fazit

Die Stripe-Skimming-Kampagne verdeutlicht, wie Web-Skimming-Gruppen ihre Methoden kontinuierlich anpassen, um Sicherheitskontrollen zu umgehen. Die Forscher stellten fest, dass die Angreifer legitime Stripe-Dienste missbrauchten, um gestohlene Zahlungsinformationen zu sammeln und zu speichern, während sie sich hinter vertrauenswürdiger Infrastruktur verbargen. Die Kampagne ist ein weiteres Beispiel dafür, dass Cyberkriminelle zunehmend seriöse Plattformen ausnutzen, um bösartige Aktivitäten schwerer erkennbar zu machen.


0 Kommentare zu „Stripe-Skimming-Kampagne verschleiert gestohlene Kreditkartendaten“