WebRTC Skimmer
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali pokročilý platební skimmer, který využívá datové kanály WebRTC k nenápadnému získávání škodlivých dat a odcizení citlivých dat. Na rozdíl od tradičních skimmerů, které se spoléhají na HTTP požadavky nebo obrazové majáky, tato varianta funguje mimo konvenční vzorce webového provozu, což výrazně komplikuje detekční úsilí.
Obsah
Vstupní bod zneužití: Zranitelnost PolyShell
Útočná kampaň byla vysledována zpět k využití PolyShellu, kritické zranitelnosti postihující platformy Magento Open Source a Adobe Commerce. Tato chyba umožňuje neověřeným útočníkům nahrávat libovolné spustitelné soubory prostřednictvím REST API, což v konečném důsledku vede k úplnému vzdálenému spuštění kódu.
Od 19. března 2026 je tato zranitelnost aktivně zneužívána ve velkém měřítku. Bylo pozorováno více než 50 IP adres provádějících skenovací operace a výzkumníci zjistili kompromitace související s PolyShellem u přibližně 56,7 % zranitelných internetových obchodů.
Mechanika útoku: WebRTC jako nenápadný kanál
Skimmer funguje jako samospouštěcí skript vložený do napadených webových stránek. Po spuštění inicializuje peer připojení WebRTC k pevně zakódované IP adrese (202.181.177.177) přes UDP port 3479. Prostřednictvím tohoto kanálu získává další škodlivý JavaScript, který je vkládán přímo do webové stránky za účelem získávání platebních údajů.
Mezi klíčové vlastnosti této techniky patří:
- Použití datových kanálů WebRTC namísto tradiční komunikace založené na protokolu HTTP
- Dynamické načítání a spouštění škodlivých skriptů
- Přímé vložení do webových stránek zpracovávajících platební informace
Bezpečnostní úniky: Obcházení tradičních obranných mechanismů
Tento přístup představuje významný pokrok v technikách skimmingu díky své schopnosti obcházet široce používané bezpečnostní kontroly. Zásady zabezpečení obsahu (CSP), na které se často spoléhá k omezení neoprávněných odchozích připojení, tuto hrozbu účinně nezmírňují.
I prostředí s přísnou konfigurací CSP, která blokuje veškerý neoprávněný HTTP provoz, zůstávají zranitelná. WebRTC provoz probíhá přes UDP šifrovaný pomocí DTLS namísto HTTP, což ho činí neviditelným pro mnoho nástrojů pro monitorování a kontrolu sítě. V důsledku toho mohou ukradená platební data zcela obejít detekci.
Dostupnost záplat a obranná opatření
Společnost Adobe vyřešila zranitelnost PolyShell ve verzi 2.4.9-beta1, vydané 10. března 2026. Okamžitá aktualizace je zásadní pro prevenci zneužití.
Pro snížení expozice a odhalení potenciálního ohrožení se důrazně doporučují následující opatření:
Omezit přístup k adresáři pub/media/custom_options/
Provádějte důkladné kontroly webových shelů, zadních vrátek a dalších škodlivých artefaktů
Strategické důsledky pro bezpečnost elektronického obchodování
Vznik skimmingu založeného na WebRTC zdůrazňuje posun směrem k sofistikovanějším technikám obcházení na úrovni protokolů. Organizace provozující platformy elektronického obchodování musí rozšířit své obranné strategie nad rámec monitorování zaměřeného na HTTP a zahrnout hlubší kontrolu netradičních komunikačních kanálů, aby mohly účinně čelit vyvíjejícím se hrozbám.
