Recentemente è stato scoperto un nuovo script con funzioni di skimmer riconducibile al panorama di Magecart capace di colpire decine di portali per il pagamento online. Lo skimmer è solitamente un dispositivo capace di leggere e in certi casi immagazzinare i dati della banda magnetica delle carte di #credito. Questa minaccia si compone di un loader e di un meccanismo di esfiltrazione. Quest’ultimo si adatta ad almeno 57 differenti gateway adottati in numerosi Paesi, fra cui si annoverano i seguenti: Adyen (NL), Stripe (US), Pin Payments (AU), eWAY Rapid (AU), Heidelpay (DE), Generic CC payment, Fat Zebra (AU), Radweb (UK), Braintree (US), Pagar.me (BR), Cryozonic Stripe (UK), Cartoes (ES), Authorize.Net (US), Cielo (BR), Secure Trading (UK), Paymetric (US), Moip (US), Ebanx (BR, MX), MundiPagg (BR), PagSeguro (BR), Payment Express (AU).
Il codice del loader contiene stringhe ridondanti di decoy, ma è possibile rintracciarvi anche chiavi esplicite come le seguenti: googleLabel, updMsg, propVersion, cachefooter, sortproc, subCatalog, sumMenu, onClipboard, optViewport, targetscope, appendtooltip, setupScreen, strictheight, hashProcedure. Questa componente si connette ad una risorsa remota da cui può scaricare sia la minaccia effettiva che file innocui.
