🔍 Contexte

PubliĂ© le 4 juin 2026 par la Sansec Forensics Team, cet article de recherche documente une famille Magecart inĂ©dite qui dĂ©tourne deux services cloud lĂ©gitimes — Google Tag Manager (GTM) et Stripe — comme infrastructure de commande et d’exfiltration, rendant la dĂ©tection par CSP ou filtres rĂ©seau quasi impossible.

⚙ MĂ©canisme d’attaque

L’attaque se dĂ©compose en trois phases :

  • Livraison du code : Un loader est injectĂ© dans un vrai conteneur GTM (GTM-P6KZMF63 et autres). Sur les pages de checkout, il rĂ©cupĂšre le skimmer depuis les mĂ©tadonnĂ©es d’un client Stripe (cus_TfFjAAZQNOYENR) et l’exĂ©cute via new Function() (RCE arbitraire cĂŽtĂ© client).
  • Collecte : Le skimmer se greffe sur le bouton de checkout Magento/Adobe Commerce, capture les champs de carte (numĂ©ro, expiration, CVV), l’adresse de facturation et le total de commande, encode les donnĂ©es en XOR avec la clĂ© EGAU3X9PAMJ8RYRNJSPV, et les stocke dans localStorage sous la clĂ© cus_customer_id.
  • Exfiltration : 1 seconde aprĂšs chaque chargement de page, puis toutes les 60 secondes, les donnĂ©es sont envoyĂ©es Ă  l’API Stripe (api.stripe.com/v1/customers) sous forme de faux client, avec les donnĂ©es volĂ©es rĂ©parties dans les champs metadata[customer_id] et metadata[device_id].

đŸ—ïž ClĂ© Stripe exposĂ©e

Chaque loader embarque une clĂ© secrĂšte Stripe en clair (sk_test_51Shuxz4fAPbvfTkr[...]) dans le JavaScript cĂŽtĂ© client. Le prĂ©fixe sk_test_ indique l’utilisation du mode test Stripe, exploitĂ© comme infrastructure gratuite et durable.

🔀 Variante Firestore

Une variante distincte du mĂȘme loader utilise Google Firestore (firestore.googleapis.com) comme canal alternatif, avec le projet braintree-payment-app et le chemin captcha pour imiter du trafic lĂ©gitime de paiement et d’anti-bot.

📅 Chronologie

Le compte Stripe malveillant (cus_TfFjAAZQNOYENR) a été créé le 24 décembre 2025, suggérant que la campagne est active depuis au moins fin 2025.

📄 Nature de l’article

Il s’agit d’une publication de recherche technique avec IoCs, dont le but principal est de documenter une technique d’Ă©vasion novatrice abusant de services cloud de confiance comme infrastructure C2 et d’exfiltration.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1185 — Browser Session Hijacking (Collection)
  • T1176 — Browser Extensions (Persistence)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

IOC

  • URLs : https://api.stripe.com/v1/customers/cus_TfFjAAZQNOYENR — URLhaus
  • URLs : https://api.stripe.com/v1/customers — URLhaus
  • URLs : https://firestore.googleapis.com/v1/projects/braintree-payment-app/databases/(default)/documents/payments/captcha — URLhaus
  • Emails : johndoe@gmail.com

Malware / Outils

  • Magecart skimmer (stealer)
  • GTM-P6KZMF63 (loader)
  • GTM-55976FLP (loader)
  • GTM-MSDHV3HG (loader)
  • GTM-TV4CSHVN (loader)

🟱 Indice de vĂ©rification factuelle : 70/100 (haute)

  • ✅ sansec.io — source reconnue (liste interne) (20pts)
  • ✅ 10546 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/3 IOCs confirmĂ©s externellement (0pts)
  • ✅ 9 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://sansec.io/research/stripe-api-skimmer-infrastructure?utm_source=substack&utm_medium=email