Skimmer de WebRTC
Investigadors de ciberseguretat han identificat un skimmer de pagaments avançat que aprofita els canals de dades WebRTC per recuperar de manera furtiva càrregues útils malicioses i exfiltrar dades sensibles. A diferència dels skimmers tradicionals que es basen en sol·licituds HTTP o balises d'imatges, aquesta variant opera fora dels patrons de trànsit web convencionals, cosa que complica significativament els esforços de detecció.
Taula de continguts
Punt d’entrada d’explotació: la vulnerabilitat de PolyShell
La campanya d'atac es va atribuir a l'explotació de PolyShell, una vulnerabilitat crítica que afecta les plataformes Magento Open Source i Adobe Commerce. Aquesta falla permet que els atacants no autenticats carreguin fitxers executables arbitraris a través de l'API REST, cosa que finalment porta a l'execució remota completa de codi.
Des del 19 de març de 2026, la vulnerabilitat s'ha explotat activament a gran escala. S'han observat més de 50 adreces IP realitzant operacions d'escaneig, i els investigadors han detectat compromisos relacionats amb PolyShell en aproximadament el 56,7% de les botigues en línia vulnerables.
Mecànica d’atac: WebRTC com a canal furtiu
El skimmer funciona com un script autoexecutable integrat dins de llocs web compromesos. En executar-se, inicia una connexió peer WebRTC a una adreça IP codificada (202.181.177.177) a través del port UDP 3479. A través d'aquest canal, recupera JavaScript maliciós addicional, que s'injecta directament a la pàgina web per recopilar dades de pagament.
Les característiques clau d'aquesta tècnica inclouen:
- Ús de canals de dades WebRTC en lloc de la comunicació tradicional basada en HTTP
- Recuperació i execució dinàmiques de scripts maliciosos
- Injecció directa a les pàgines web que gestionen informació de pagament
Evasió de seguretat: eludint les defenses tradicionals
Aquest enfocament representa un avenç notable en les tècniques de skimming a causa de la seva capacitat per evadir els controls de seguretat àmpliament desplegats. La política de seguretat de contingut (CSP), sovint utilitzada per restringir les connexions de sortida no autoritzades, no mitiga eficaçment aquesta amenaça.
Fins i tot els entorns amb configuracions CSP estrictes que bloquegen tot el trànsit HTTP no autoritzat continuen sent vulnerables. El trànsit WebRTC funciona sobre UDP xifrat amb DTLS en lloc d'HTTP, cosa que el fa invisible per a moltes eines de monitorització i inspecció de xarxa. Com a resultat, les dades de pagament exfiltrades poden evitar completament la detecció.
Disponibilitat de pegats i mesures defensives
Adobe va solucionar la vulnerabilitat de PolyShell a la versió 2.4.9-beta1, publicada el 10 de març de 2026. L'aplicació immediata de pegats és fonamental per evitar l'explotació.
Per reduir l'exposició i detectar possibles problemes, es recomana encaridament les mesures següents:
Restringeix l'accés al directori pub/media/custom_options/
Realitzeu escanejos exhaustius per detectar shells web, portes del darrere i altres artefactes maliciosos.
Implicacions estratègiques per a la seguretat del comerç electrònic
L'aparició del skimming basat en WebRTC destaca un canvi cap a tècniques d'evasió més sofisticades a nivell de protocol. Les organitzacions que operen plataformes de comerç electrònic han d'ampliar les seves estratègies defensives més enllà de la monitorització centrada en HTTP i incorporar una inspecció més profunda dels canals de comunicació no tradicionals per contrarestar eficaçment les amenaces en evolució.
