WebRTC Skimmer
Изследователи по киберсигурност са идентифицирали усъвършенстван скимър за плащания, който използва WebRTC DataChannels, за да извлича тайно злонамерени полезни товари и да извлича чувствителни данни. За разлика от традиционните скимъри, които разчитат на HTTP заявки или маяци за изображения, този вариант работи извън конвенционалните модели на уеб трафик, което значително усложнява усилията за откриване.
Съдържание
Входна точка за експлоатация: Уязвимостта PolyShell
Атакуващата кампания е проследена до експлоатацията на PolyShell, критична уязвимост, засягаща платформите Magento с отворен код и Adobe Commerce. Тази уязвимост позволява на неавторизирани нападатели да качват произволни изпълними файлове чрез REST API, което в крайна сметка води до пълно дистанционно изпълнение на код.
От 19 март 2026 г. насам уязвимостта е активно експлоатирана в голям мащаб. Над 50 IP адреса са наблюдавани при извършване на сканиращи операции, като изследователите са открили компромиси, свързани с PolyShell, в приблизително 56,7% от уязвимите онлайн магазини.
Механика на атаката: WebRTC като скрит канал
Скимерът работи като самоизпълняващ се скрипт, вграден в компрометирани уебсайтове. След изпълнението си, той инициира WebRTC peer връзка с твърдо кодиран IP адрес (202.181.177.177) през UDP порт 3479. Чрез този канал той извлича допълнителен зловреден JavaScript код, който се инжектира директно в уеб страницата, за да събере данни за плащане.
Ключовите характеристики на тази техника включват:
- Използване на WebRTC DataChannels вместо традиционна комуникация, базирана на HTTP
- Динамично извличане и изпълнение на злонамерени скриптове
- Директно инжектиране в уеб страници, обработващи информация за плащане
Заобикаляне на сигурността: Заобикаляне на традиционните защити
Този подход представлява забележителен напредък в техниките за скимиране, поради способността му да заобикаля широко разпространените контроли за сигурност. Политиката за сигурност на съдържанието (CSP), често използвана за ограничаване на неоторизирани изходящи връзки, не смекчава ефективно тази заплаха.
Дори среди със строги CSP конфигурации, които блокират целия неоторизиран HTTP трафик, остават уязвими. WebRTC трафикът работи през DTLS-криптиран UDP, а не през HTTP, което го прави невидим за много инструменти за мрежов мониторинг и проверка. В резултат на това, изкраднатите данни за плащания могат да заобиколят напълно откриването.
Наличност на пачове и защитни мерки
Adobe отстрани уязвимостта на PolyShell във версия 2.4.9-beta1, издадена на 10 март 2026 г. Незабавното инсталиране на корекции е от решаващо значение за предотвратяване на експлоатация.
За да се намали експозицията и да се открие потенциално компрометиране, силно се препоръчват следните мерки:
Ограничете достъпа до директорията pub/media/custom_options/
Извършвайте щателни сканирания за уеб шелове, задни врати и други злонамерени артефакти
Стратегически последици за сигурността на електронната търговия
Появата на WebRTC-базираното скимиране подчертава преминаването към по-сложни техники за избягване на заплахи на ниво протокол. Организациите, управляващи платформи за електронна търговия, трябва да разширят своите защитни стратегии отвъд HTTP-центричното наблюдение и да включат по-задълбочена проверка на нетрадиционните комуникационни канали, за да противодействат ефективно на развиващите се заплахи.
