Les chasseurs de menaces mettent en garde contre une campagne sophistiquée de l’écumoire Web qui tire parti d’une interface de programmation d’application héritée (API) de la bande de processeur de paiement pour valider les informations de paiement volées avant l’exfiltration.
“Cette tactique garantit que seules les données de carte valides sont envoyées aux attaquants, ce qui rend l’opération plus efficace et potentiellement plus difficile à détecter”, les chercheurs de JSCrambler Pedro Fortuna, David Alves et Pedro Marrucho dit dans un rapport.
On estime que 49 marchands auraient été affectés par la campagne à ce jour. Quinze des sites compromis ont pris des mesures pour supprimer les injections de script malveillant. L’activité est évaluée comme étant en cours depuis au moins le 20 août 2024.
Les détails de la campagne étaient Premier signalé Par la société de sécurité Source Defence vers la fin de février 2025, détaillant l’utilisation par l’écumoire Web du “api.stripe[.]com / v1 / sources“L’API, qui permet aux demandes d’accepter diverses méthodes de paiement. Le point final a depuis été obsolète en faveur de l’API de la nouvelle API PaymentMethods.
Les chaînes d’attaque utilisent des domaines malveillants comme point de distribution initial pour l’écumoire JavaScript conçu pour intercepter et masquer le formulaire de paiement légitime sur les pages de paiement de l’ordre, servir une réplique de l’écran de paiement de bande légitime, le valider à l’aide de l’API des sources, puis la transmettre à un serveur distant sous un format de base de base64.
JSCrambler a déclaré que les acteurs de la menace derrière l’opération sont probablement en train de tirer parti des vulnérabilités et des erreurs de configuration dans WooCommerce, WordPress et Prestashop pour implanter le script de scène initial. Ce script de chargeur sert à déchiffrer et à lancer une prochaine étape codée de base64, qui, à son tour, contient l’URL pointant vers l’écumoire.
“Le script d’écrémage cache la bande légitime Iframe et la superpose avec une malveillance malveillante conçue pour imiter son apparence”, ont déclaré les chercheurs. “Il clonage également le bouton” Placer Order “, cachant celui réel.”
Une fois les détails exfiltrés, les utilisateurs affichent un message d’erreur, leur demandant de recharger les pages. Il existe des preuves suggérant que la charge utile de l’écumeur finale est générée en utilisant une sorte d’outil en raison du fait que le script semble être adapté à chaque site ciblé.
La société de sécurité a en outre noté qu’elle avait découvert des scripts de l’écumoire imitant un formulaire de paiement carré, suggérant que les acteurs de la menace ciblent probablement plusieurs prestataires de services de paiement. Et ce n’est pas tout. Le code d’écrémage a également été observé en ajoutant d’autres options de paiement à l’aide de crypto-monnaies comme Bitcoin, Ether (Ethereum), Tether et Litecoin.
“Cette campagne sophistiquée d’écrémage Web met en évidence les tactiques évolutives que les attaquants sont non détectées”, ont déclaré les chercheurs. “Et en prime, ils filtrent efficacement les données de carte de crédit non valides, garantissant que seuls les informations d’identification valides sont volées.”



