Nuova campagna Magecart: checkout sotto assedio
La nuova campagna Magecart segnala un salto di qualità negli attacchi contro gli e-commerce. Il bersaglio non è più soltanto il server ma il momento più delicato: il checkout, dove l’utente inserisce i dati della carta.
Il caso riguarda negozi fondati su cms Magento e Adobe Commerce, colpiti attraverso servizi considerati affidabili.
I truffatori hanno usato Google Tag Manager e l’API di Stripe come copertura, rendendo il furto meno visibile. La tecnica rientra nel web skimming, cioè la sottrazione dei dati direttamente dalla pagina di pagamento.
Il tema pesa perché molte aziende autorizzano questi domini nelle proprie regole di sicurezza. Di conseguenza, il traffico malevolo può sembrare normale. Nell’articolo vedremo come funziona la catena dell’attacco, perché le difese basate su domini fidati non bastano più e quali controlli rendono più solida la sicurezza digitale.
La nuova campagna Magecart non è un episodio isolato ma un segnale chiaro per chi gestisce vendite online.
Un attacco recente contro un grande rivenditore ha mostrato quanto una violazione possa compromettere la fiducia dei clienti e produrre perdite rilevanti.
Questo scenario conferma l’importanza di misure più avanzate, come monitoraggio del traffico in tempo reale e analisi comportamentale. Le aziende dovrebbero investire anche nella formazione continua del personale, così da riconoscere e gestire rapidamente le minacce.
Catena d’attacco nella nuova campagna magecart
La nuova campagna magecart parte dalla compromissione di negozi basati su Magento e Adobe Commerce. Dopo l’accesso iniziale, i truffatori inseriscono un container GTM malevolo.
Il sito, però, continua a funzionare senza segnali evidenti. Il gestore vede uno strumento di marketing ordinario, non un canale usato per rubare dati.
Il browser carica risorse da googletagmanager.com, un dominio spesso già consentito nelle policy aziendali.
Quando l’utente arriva al pagamento, il codice contatta api.stripe.com. In quel punto non recupera un elemento legittimo ma frammenti preparati dai cyber criminali. Il meccanismo sfrutta la fiducia tecnica verso servizi reali.
Per un negozio che usa molti pixel, analytics e tag pubblicitari, distinguere il comportamento normale diventa difficile.
La nuova campagna Magecart dimostra quindi un punto preciso: non basta aggiornare i plugin. Bisogna controllare anche chi può eseguire codice nel browser del cliente.
Questo tipo di attacco rende decisiva una gestione rigorosa dei permessi e delle integrazioni di terze parti.
Controlli regolari sulle autorizzazioni di accesso e analisi dei log di rete possono far emergere attività sospette. Anche il monitoraggio delle modifiche al codice sorgente aiuta a individuare inserimenti non autorizzati.
Skimmer nella nuova campagna magecart: carte e payload
Il cuore della nuova campagna Magecart è lo skimmer, cioè uno script che legge i campi digitati durante il pagamento.
Copia numero carta, CVV, nome, indirizzo e altri dati utili. Il punto critico è JavaScript, perché questo linguaggio esegue istruzioni direttamente nel browser dell’utente.
Nella variante descritta dai ricercatori, il JavaScript malevolo non invia subito le informazioni verso un server sospetto. Prima le unisce in una stringa, poi le offusca con tecnica XOR. Questo metodo altera i dati con una chiave semplice, rendendoli meno riconoscibili ai controlli automatici.
Infine, lo skimmer crea un falso cliente su Stripe e carica le informazioni in un customer object. Il payload e le carte passano così attraverso api.stripe.com. Per gli strumenti meno evoluti, quel traffico sembra parte del normale flusso di pagamento.
L’uso di servizi legittimi come Stripe è proprio l’elemento che complica la difesa.
Un amministratore di rete potrebbe non vedere nulla di anomalo, perché le comunicazioni verso api.stripe.com sono comuni e considerate sicure. Anche l’offuscamento XOR è insidioso, perché richiede una chiave specifica per leggere correttamente i dati.
Un negozio online che non aggiorna regolarmente i propri sistemi di sicurezza può diventare un bersaglio ideale. Gli hacker possono iniettare lo skimmer nel codice del sito sfruttando vulnerabilità note. In questo modo raccolgono dati sensibili da migliaia di clienti ignari.
Nuova campagna magecart: domini fidati non bastano
La nuova campagna Magecart mette in difficoltà le difese basate soltanto su domini autorizzati.
Molti e-commerce permettono comunicazioni verso Google Tag Manager e Stripe, perché questi servizi servono davvero alle vendite. Tuttavia, un dominio trusted non garantisce che ogni azione sia lecita.
Il limite riguarda anche la Content Security Policy, cioè la regola che decide quali risorse può caricare una pagina. Se l’attacco passa da canali già autorizzati, la policy può non bloccarlo.
Per questo, alcuni controlli devono essere rafforzati con continuità:
- Verificare ogni modifica nei container GTM
- Ridurre script esterni non essenziali
- Monitorare chiamate verso API di pagamento
- Isolare il checkout da tag superflui
Per questo, web skimming e sicurezza del checkout devono essere analizzati insieme. Una regola statica protegge solo da ciò che è già previsto.
Gli attacchi informatici moderni cercano invece zone grigie, dove il traffico appare ordinario anche quando non lo è.
È quindi cruciale monitorare in modo continuo le attività sui domini fidati. Gli strumenti di analisi comportamentale possono aiutare a individuare anomalie.
Se un e-commerce osserva un aumento improvviso di chiamate verso il gateway dei pagamenti senza un aumento delle vendite, potrebbe trovarsi davanti a un segnale di compromissione.
La sicurezza, però, non è solo tecnica. Una cultura interna basata su formazione e aggiornamenti regolari mantiene alta l’attenzione sulle minacce emergenti. La nuova campagna magecart conferma che la fiducia deve essere verificata, non data per scontata.
Un’evoluzione iniziata prima del caso Stripe
La nuova campagna Magecart non nasce dal nulla.
Gli attacchi con Google Tag Manager “trojanizzato” sono documentati da anni. In una campagna attiva da febbraio 2021, Gemini Advisory ha identificato 316 siti e-commerce infettati. In quel contesto, almeno 88.000 record di carte sarebbero finiti su marketplace del dark web.
Questi attacchi sfruttano la fiducia che le aziende ripongono in strumenti come Google Tag Manager.
Il codice malevolo può così rimanere nascosto per molto tempo. I criminali usano tecniche avanzate per mascherare l’attività, compresi script che si attivano solo in condizioni specifiche.
Nel 2023, il container GTM-WJV6J6 è stato rilevato 178 volte.
Dopo la sua rimozione, sono comparsi altri container, tra cui GTM-TVKQ79ZS e GTM-NTV2JTB4. L’operazione è stata collegata ad ATMZOW, gruppo attivo dal 2015.
Nel 2025 sono emerse catene ancora più modulari.
Un contenitore caricava un falso CSS con codice nascosto nella proprietà ::before. Un secondo contenitore lo eseguiva e apriva una connessione WebSocket per esfiltrare dati in tempo reale.
Questa evoluzione conferma una tendenza della criminalità informatica: meno rumore e più mimetismo operativo.
La rilevazione diventa più complessa, mentre gli attori malevoli mostrano maggiore adattabilità. Le aziende devono quindi aggiornare costantemente le strategie di difesa.
Governance dei tag nella nuova campagna magecart
La nuova campagna Magecart impone una gestione più severa delle integrazioni di terze parti.
Ogni tag aggiunto al sito diventa una possibile superficie d’attacco. Per questo, il controllo non riguarda solo sviluppatori e sicurezza. Coinvolge anche marketing, agenzie esterne e responsabili e-commerce.
Un esempio pratico riguarda il checkout.
Se un team aggiunge un nuovo pixel pubblicitario senza revisione, quel codice può accedere al contesto della pagina. Non sempre legge i dati, ma aumenta il rischio. Serve quindi un inventario dei tag, con proprietario, scopo e data di approvazione.
La sicurezza digitale migliora quando ogni script ha una ragione verificabile.
La sicurezza informatica deve includere log delle modifiche, alert sui container GTM e controllo delle chiamate verso api.stripe.com. Inoltre, conviene separare analytics e pagamento quando possibile.
Così la cybersecurity non resta un reparto isolato, ma diventa una disciplina operativa del commercio online.
Per gestire i tag in modo efficace serve una politica di approvazione condivisa tra i dipartimenti coinvolti. Il marketing può proporre nuovi strumenti, ma l’IT deve valutarne l’impatto.
Gli strumenti di monitoraggio automatico possono aiutare a rilevare e bloccare script sospetti in tempo reale. Un approccio proattivo protegge l’infrastruttura del sito e rafforza la fiducia dei clienti, che si aspettano un trattamento responsabile dei propri dati.
La fiducia tecnica come nuovo campo di battaglia
La nuova campagna Magecart racconta una trasformazione profonda degli attacchi digitali. Il problema non è solo il malware nascosto, ma la sua capacità di sembrare una procedura normale. Stripe, Google Tag Manager e le API non sono il nemico. Il punto è come la fiducia tecnica viene sfruttata contro chi vende e chi acquista.
Per gli e-commerce, la fiducia digitale non può dipendere soltanto da marchi noti o domini autorizzati. Deve nascere da verifica continua, visibilità sui tag e comprensione del comportamento nel browser. Strumenti di monitoraggio in tempo reale possono individuare anomalie nei pattern di traffico.
La nuova campagna Magecart mostra che il confine tra traffico legittimo e abuso è sempre più sottile.
La cybersecurity efficace non blocca tutto, ma distingue meglio. Nel commercio online, la protezione passerà dalla capacità di vedere ciò che appare normale, ma non lo è.
Le aziende devono investire anche nella formazione continua del personale IT. Solo un approccio proattivo e informato può mantenere sicuro l’ambiente digitale.
