Một dạng mới của mã độc skimming thẻ tín dụng đã được phát hiện ẩn mình bên trong một trong những nền tảng thanh toán đáng tin cậy nhất trên internet. Các nhà nghiên cứu đã khám phá một chiến dịch tấn công Magecart tinh vi, sử dụng Stripe – dịch vụ thanh toán trực tuyến được sử dụng rộng rãi – làm trung tâm chỉ huy (C2) và điểm tập kết dữ liệu bị đánh cắp.
Thay vì chuyển hướng dữ liệu thẻ bị đánh cắp đến một máy chủ khả nghi, kẻ tấn công đã định tuyến mọi thứ thông qua cơ sở hạ tầng mà các cửa hàng trực tuyến tin cậy hoàn toàn. Phương pháp này khiến việc phát hiện trở nên cực kỳ khó khăn, vì lưu lượng truy cập độc hại hòa lẫn vào các giao dịch hợp pháp.
Phân tích Kỹ thuật về tấn công Magecart qua Stripe
Phương thức Tấn công Độc đáo và Khó Phát hiện
Điều làm cho cuộc tấn công Magecart này đặc biệt nguy hiểm là khả năng tàng hình trước hầu hết các công cụ bảo mật thông thường. Mã độc không bao giờ được tải từ một miền thuộc sở hữu của kẻ tấn công.
Thay vào đó, cả payload và dữ liệu thẻ bị đánh cắp đều di chuyển qua api.stripe.com, một miền mà hầu như mọi cửa hàng thương mại điện tử đều cho phép theo mặc định. Điều này có nghĩa là các bộ lọc lưu lượng truy cập và chính sách bảo mật vốn thường phát hiện ra mã độc skimming đã để lộ thông tin này.
Các chuyên gia tại Sansec, một công ty chuyên về bảo mật thương mại điện tử, đã xác định được dòng mã độc Magecart này và công bố phát hiện của họ vào ngày 4 tháng 6 năm 2026. Báo cáo của Sansec cung cấp cái nhìn sâu sắc về phương thức hoạt động của cuộc tấn công Magecart này.
Cơ chế Lưu trữ và Thực thi Mã độc
Theo báo cáo của Sansec, kẻ tấn công lưu trữ mã độc đánh cắp thẻ bên trong metadata của một khách hàng Stripe, sau đó thực thi nó trên các trang thanh toán. Các số thẻ bị đánh cắp sau đó được ghi lại vào cùng tài khoản Stripe này dưới dạng các “khách hàng giả mạo”.
Stripe, một dịch vụ thanh toán hợp pháp và đáng tin cậy, đang bị lạm dụng làm cơ sở hạ tầng tội phạm miễn phí. Đây là một chiến thuật đặc biệt nguy hiểm, vì nó khai thác niềm tin vào một dịch vụ cốt lõi của thương mại điện tử.
Cuộc tấn công Magecart này cũng dựa vào Google Tag Manager (GTM) để phân phối trình tải ban đầu. Các vùng chứa GTM thực, bao gồm một vùng chứa được xác định là GTM-P6KZMF63, đã được cài cắm với một thẻ tùy chỉnh và được phân phối trực tiếp từ googletagmanager.com.
Điều này cho phép trình tải hòa lẫn vào các thẻ phân tích hợp pháp của cửa hàng, làm cho việc phát hiện trở nên khó khăn hơn nhiều nếu không có một cuộc kiểm tra thủ công cẩn thận. Việc sử dụng GTM làm kênh phân phối là một yếu tố quan trọng trong khả năng ẩn mình của mã độc skimming.
Dòng thời gian và Phát triển của Chiến dịch
Chiến dịch tấn công Magecart này dường như đã hoạt động ít nhất từ tháng 12 năm 2025, dựa trên ngày tạo tài khoản Stripe được sử dụng trong cuộc tấn công. Bản ghi tài khoản được tạo vào ngày 24 tháng 12 năm 2025, sử dụng một mẫu mặc định từ dữ liệu mẫu của Stripe, hoàn chỉnh với tên và địa chỉ email giữ chỗ.
Thông tin này cho thấy kẻ tấn công đã chuẩn bị kỹ lưỡng và tận dụng các tính năng hợp pháp của Stripe để thiết lập cơ sở hạ tầng độc hại. Sự ẩn mình và khả năng tồn tại lâu dài của chiến dịch này là một mối lo ngại lớn đối với an ninh mạng.
Quy trình Chi tiết của mã độc skimming
Mã độc chia công việc của mình thành ba bước chính, mỗi bước được thiết kế để tối đa hóa hiệu quả và giảm thiểu khả năng bị phát hiện. Quá trình này bắt đầu ngay khi người dùng truy cập vào trang web bị ảnh hưởng.
Giai đoạn Triển khai Loader
Đầu tiên, trình tải (loader) được nhúng bên trong một vùng chứa GTM hợp lệ sẽ kích hoạt trên mọi trang mà nó tải. Đây là bước đầu tiên trong chuỗi tấn công, đảm bảo mã độc có thể quét và xác định các trang mục tiêu tiềm năng.
Khi trình tải phát hiện một trang thanh toán, nó sẽ kết nối với một bản ghi khách hàng Stripe cụ thể do kẻ tấn công kiểm soát. Sau đó, nó sẽ kéo mã độc skimming xuống theo từng phần, được lưu trữ rải rác qua nhiều trường metadata.
Kỹ thuật phân mảnh mã độc và lưu trữ trong metadata hợp pháp của Stripe giúp tránh bị phát hiện bởi các công cụ quét mã độc truyền thống, vốn thường tìm kiếm các tệp mã độc nguyên vẹn.
Giai đoạn Đánh cắp và Mã hóa Dữ liệu
Sau khi được tải xuống, mã độc skimming sẽ gắn mình vào nút thanh toán và chờ đợi. Khoảnh khắc người mua nhấp để hoàn tất giao dịch, nó sẽ nhanh chóng thu giữ toàn bộ số thẻ, ngày hết hạn, mã CVV, địa chỉ thanh toán và tổng số đơn hàng.
Dữ liệu này sau đó được mã hóa bằng thuật toán XOR và được lưu trữ một cách lặng lẽ trong bộ nhớ cục bộ của trình duyệt (local storage), thay vì được gửi đi ngay lập tức. Việc trì hoãn gửi dữ liệu là một kỹ thuật để tránh các sự kiện mạng đáng ngờ có thể kích hoạt cảnh báo.
Giai đoạn Exfiltration Dữ liệu
Hành vi đánh cắp dữ liệu thực tế diễn ra sau một khoảng thời gian trì hoãn. Một quy trình riêng biệt sẽ kiểm tra dữ liệu thẻ đã lưu trữ một giây sau mỗi lần tải trang, và sau đó cứ 60 giây một lần.
Khi tìm thấy một bản ghi, nó sẽ chia dữ liệu làm đôi và gửi lên API khách hàng của Stripe dưới dạng một mục giả mạo. Kẻ tấn công có thể truy xuất tất cả các thẻ bị đánh cắp sau này bằng cách đơn giản là liệt kê khách hàng trong tài khoản Stripe của chính họ. Việc chia nhỏ dữ liệu và sử dụng API hợp pháp của Stripe là một yếu tố quan trọng trong việc che giấu hoạt động exfiltration.
Biến thể Tấn công qua Google Firestore
Mở rộng Khả năng tấn công Magecart
Sansec cũng tìm thấy một biến thể liên quan của mã độc skimming, thay thế Stripe bằng Google Firestore – dịch vụ cơ sở dữ liệu được lưu trữ trên đám mây của Google. Điều này cho thấy kẻ tấn công đang tích cực phát triển nhiều kênh phân phối khác nhau cho bộ công cụ skimming của chúng.
Phiên bản này kéo payload của mã độc skimming từ một tài liệu Firestore bên trong một dự án có tên là braintree-payment-app. Tên này được chọn để trông giống như lưu lượng thanh toán thông thường, nhằm tránh gây ra bất kỳ cảnh báo nào và duy trì tính tàng hình của cuộc tấn công Magecart.
Cả hai biến thể đều tuân theo cùng một ý tưởng cốt lõi: lạm dụng một dịch vụ đám mây chính thống, đáng tin cậy làm kênh ẩn mà không có quy tắc bảo mật tiêu chuẩn nào sẽ chặn. Chiến lược này đặt ra một thách thức lớn trong việc bảo vệ các hệ thống thương mại điện tử.
Các chỉ số xâm nhập (IoC)
Dưới đây là các chỉ số xâm nhập (IoC) được xác định liên quan đến cuộc tấn công Magecart này:
- Tên dự án Google Firestore:
braintree-payment-app - Container ID Google Tag Manager:
GTM-P6KZMF63 - Miền API bị lạm dụng:
api.stripe.com - Miền API bị lạm dụng:
firestore.googleapis.com
Lưu ý: Địa chỉ IP và miền được làm xáo trộn (ví dụ: [.]) để ngăn chặn việc phân giải hoặc siêu liên kết ngoài ý muốn. Vui lòng khôi phục trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Khuyến nghị và Biện pháp Phòng ngừa để Tăng cường an ninh mạng
Để chống lại các cuộc tấn công Magecart tinh vi như thế này, các chủ cửa hàng cần thực hiện các biện pháp chủ động để tăng cường an ninh mạng của mình. Các biện pháp này tập trung vào việc giám sát chặt chẽ các thành phần phía máy khách và các dịch vụ đám mây tích hợp.
Kiểm tra Mã nguồn Phía Client
Sansec khuyến nghị các chủ cửa hàng kiểm tra tất cả các script phía client để tìm bất kỳ khóa bí mật (secret key) của Stripe nào. Mã frontend hợp pháp không bao giờ chứa khóa bí mật của Stripe, do đó, sự hiện diện của chúng là một dấu hiệu rõ ràng của sự xâm phạm.
Bất kỳ lệnh gọi đến api.stripe.com hoặc firestore.googleapis.com nào được tìm thấy trong JavaScript của trình duyệt mà không có mục đích rõ ràng và hợp pháp, nên được coi là dấu hiệu của việc hệ thống đã bị xâm nhập. Việc giám sát liên tục các request mạng từ trình duyệt là rất quan trọng.
Các công cụ phân tích lưu lượng mạng và nhật ký proxy có thể giúp phát hiện các cuộc gọi API bất thường đến các dịch vụ này. Việc thiết lập các cảnh báo dựa trên các mẫu lưu lượng truy cập không mong muốn sẽ tăng cường khả năng phát hiện sớm các mối đe dọa.
Rà soát Tài khoản Google Tag Manager
Các chủ cửa hàng cũng nên xem xét kỹ lưỡng mọi thẻ bên trong tài khoản Google Tag Manager của họ và xóa bất kỳ thẻ nào mà họ không tự thêm vào. Các thẻ GTM độc hại có thể được sử dụng để tải các script skimming mà không cần thay đổi trực tiếp mã nguồn của trang web.
Việc thực hiện các cuộc kiểm toán bảo mật định kỳ cho tài khoản GTM là một biện pháp thiết yếu. Điều này bao gồm kiểm tra lịch sử thay đổi, quyền truy cập của người dùng, và đảm bảo rằng tất cả các thẻ đều có mục đích kinh doanh rõ ràng và hợp pháp.
Tăng cường Giám sát và Threat Intelligence
Việc theo dõi chặt chẽ các bản tin và cảnh báo về mối đe dọa mạng mới nhất là cực kỳ quan trọng. Các nhà nghiên cứu bảo mật thường xuyên công bố thông tin về các chiến thuật, kỹ thuật và quy trình (TTPs) mới mà kẻ tấn công sử dụng.
Tích hợp các nguồn threat intelligence đáng tin cậy vào hệ thống giám sát của bạn sẽ giúp cập nhật các IoC mới và cải thiện khả năng phát hiện các cuộc tấn công chưa từng biết. Điều này bao gồm việc tham khảo các báo cáo từ các tổ chức như Sansec, CISA, và NVD để nắm bắt các tin tức bảo mật mới nhất.
Xây dựng một chiến lược bảo mật nhiều lớp, kết hợp giữa phòng ngừa, phát hiện và ứng phó, là cách hiệu quả nhất để giảm thiểu rủi ro từ các cuộc tấn công Magecart và các loại mã độc skimming khác. Việc giáo dục nhân viên về các mối đe dọa này cũng đóng vai trò quan trọng trong việc bảo vệ dữ liệu khách hàng.
