WebRTC-skimmer
Cybersikkerhedsforskere har identificeret en avanceret betalingsskimmer, der udnytter WebRTC DataChannels til i hemmelighed at hente ondsindede data og stjæle følsomme data. I modsætning til traditionelle skimmere, der er afhængige af HTTP-anmodninger eller image beacons, fungerer denne variant uden for konventionelle webtrafikmønstre, hvilket komplicerer detektionsindsatsen betydeligt.
Indholdsfortegnelse
Indgangspunkt for udnyttelse: PolyShell-sårbarheden
Angrebskampagnen blev sporet tilbage til udnyttelsen af PolyShell, en kritisk sårbarhed, der påvirker Magento Open Source- og Adobe Commerce-platformene. Denne fejl gør det muligt for uautoriserede angribere at uploade vilkårlige eksekverbare filer via REST API'en, hvilket i sidste ende fører til fuld fjernudførelse af kode.
Siden 19. marts 2026 er sårbarheden blevet aktivt udnyttet i stor skala. Over 50 IP-adresser er blevet observeret i forbindelse med scanninger, og forskere har registreret PolyShell-relaterede kompromitteringer i cirka 56,7 % af de sårbare onlinebutikker.
Angrebsmekanik: WebRTC som en stealth-kanal
Skimmeren fungerer som et selvudførende script, der er indlejret i kompromitterede websteder. Ved udførelse initierer den en WebRTC-peerforbindelse til en hardcodet IP-adresse (202.181.177.177) via UDP-port 3479. Gennem denne kanal henter den yderligere ondsindet JavaScript, som injiceres direkte på websiden for at indsamle betalingsdata.
Nøgleegenskaber ved denne teknik inkluderer:
- Brug af WebRTC DataChannels i stedet for traditionel HTTP-baseret kommunikation
- Dynamisk hentning og udførelse af ondsindede scripts
- Direkte indsprøjtning på websider, der håndterer betalingsoplysninger
Sikkerhedsunddragelse: Omgåelse af traditionelle forsvarsværker
Denne tilgang repræsenterer et bemærkelsesværdigt fremskridt inden for skimming-teknikker på grund af dens evne til at omgå udbredte sikkerhedskontroller. Content Security Policy (CSP), der ofte bruges til at begrænse uautoriserede udgående forbindelser, afbøder ikke effektivt denne trussel.
Selv miljøer med strenge CSP-konfigurationer, der blokerer al uautoriseret HTTP-trafik, forbliver sårbare. WebRTC-trafik kører over DTLS-krypteret UDP i stedet for HTTP, hvilket gør den usynlig for mange netværksovervågnings- og inspektionsværktøjer. Som et resultat kan eksfiltrerede betalingsdata helt omgå detektion.
Tilgængelighed af patches og forsvarsforanstaltninger
Adobe adresserede PolyShell-sårbarheden i version 2.4.9-beta1, udgivet den 10. marts 2026. Øjeblikkelig opdatering er afgørende for at forhindre udnyttelse.
For at reducere eksponering og opdage potentiel kompromis anbefales følgende foranstaltninger kraftigt:
Begræns adgang til pub/media/custom_options/-mappen
Udfør grundige scanninger for webshells, bagdøre og andre ondsindede artefakter
Strategiske implikationer for e-handelssikkerhed
Fremkomsten af WebRTC-baseret skimming fremhæver et skift mod mere sofistikerede undvigelsesteknikker på protokolniveau. Organisationer, der driver e-handelsplatforme, skal udvide deres defensive strategier ud over HTTP-centreret overvågning og indarbejde dybere inspektion af ikke-traditionelle kommunikationskanaler for effektivt at imødegå udviklende trusler.
