WebRTC Skimmer
Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα προηγμένο skimmer πληρωμών που αξιοποιεί το WebRTC DataChannels για την κρυφή ανάκτηση κακόβουλων φορτίων και την εξαγωγή ευαίσθητων δεδομένων. Σε αντίθεση με τα παραδοσιακά skimmers που βασίζονται σε αιτήματα HTTP ή image beacons, αυτή η παραλλαγή λειτουργεί εκτός των συμβατικών μοτίβων διαδικτυακής κίνησης, περιπλέκοντας σημαντικά τις προσπάθειες ανίχνευσης.
Πίνακας περιεχομένων
Σημείο εισόδου εκμετάλλευσης: Η ευπάθεια PolyShell
Η εκστρατεία επίθεσης εντοπίστηκε στην εκμετάλλευση του PolyShell, ενός κρίσιμου ευάλωτου σημείου που επηρεάζει τις πλατφόρμες Magento Open Source και Adobe Commerce. Αυτό το ελάττωμα επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να ανεβάζουν αυθαίρετα εκτελέσιμα αρχεία μέσω του REST API, οδηγώντας τελικά σε πλήρη απομακρυσμένη εκτέλεση κώδικα.
Από τις 19 Μαρτίου 2026, η ευπάθεια έχει αξιοποιηθεί ενεργά σε μεγάλη κλίμακα. Πάνω από 50 διευθύνσεις IP έχουν παρατηρηθεί κατά τη διάρκεια εργασιών σάρωσης, με τους ερευνητές να εντοπίζουν παραβιάσεις που σχετίζονται με το PolyShell σε περίπου 56,7% των ευάλωτων ηλεκτρονικών καταστημάτων.
Μηχανισμοί Επίθεσης: WebRTC ως Αόρατο Κανάλι
Το skimmer λειτουργεί ως ένα αυτοεκτελούμενο σενάριο ενσωματωμένο σε παραβιασμένους ιστότοπους. Κατά την εκτέλεση, ξεκινά μια σύνδεση WebRTC peer σε μια ενσωματωμένη διεύθυνση IP (202.181.177.177) μέσω της θύρας UDP 3479. Μέσω αυτού του καναλιού, ανακτά επιπλέον κακόβουλο JavaScript, το οποίο εγχέεται απευθείας στην ιστοσελίδα για τη συλλογή δεδομένων πληρωμών.
Βασικά χαρακτηριστικά αυτής της τεχνικής περιλαμβάνουν:
- Χρήση WebRTC DataChannels αντί για την παραδοσιακή επικοινωνία που βασίζεται σε HTTP
- Δυναμική ανάκτηση και εκτέλεση κακόβουλων σεναρίων
- Άμεση εισαγωγή σε ιστοσελίδες που χειρίζονται πληροφορίες πληρωμής
Αποφυγή Ασφαλείας: Παράκαμψη Παραδοσιακών Αμυντικών Μέτρων
Αυτή η προσέγγιση αντιπροσωπεύει μια αξιοσημείωτη πρόοδο στις τεχνικές skimming λόγω της ικανότητάς της να παρακάμπτει τους ευρέως χρησιμοποιούμενους ελέγχους ασφαλείας. Η Πολιτική Ασφάλειας Περιεχομένου (CSP), στην οποία συχνά βασίζεται ο περιορισμός των μη εξουσιοδοτημένων εξερχόμενων συνδέσεων, δεν μετριάζει αποτελεσματικά αυτήν την απειλή.
Ακόμα και περιβάλλοντα με αυστηρές διαμορφώσεις CSP που αποκλείουν κάθε μη εξουσιοδοτημένη κίνηση HTTP παραμένουν ευάλωτα. Η κίνηση WebRTC λειτουργεί μέσω κρυπτογραφημένου UDP με DTLS αντί για HTTP, καθιστώντας την αόρατη σε πολλά εργαλεία παρακολούθησης και επιθεώρησης δικτύου. Ως αποτέλεσμα, τα δεδομένα πληρωμών που έχουν εξαχθεί μπορούν να παρακάμψουν εντελώς την ανίχνευση.
Διαθεσιμότητα ενημερώσεων κώδικα και αμυντικά μέτρα
Η Adobe αντιμετώπισε το θέμα ευπάθειας PolyShell στην έκδοση 2.4.9-beta1, η οποία κυκλοφόρησε στις 10 Μαρτίου 2026. Η άμεση ενημέρωση κώδικα είναι κρίσιμη για την αποτροπή της εκμετάλλευσης.
Για τη μείωση της έκθεσης και την ανίχνευση πιθανών επικίνδυνων ουσιών, συνιστώνται θερμά τα ακόλουθα μέτρα:
Περιορισμός πρόσβασης στον κατάλογο pub/media/custom_options/
Διεξάγετε ενδελεχείς σαρώσεις για κελύφη ιστού, backdoors και άλλα κακόβουλα αντικείμενα
Στρατηγικές επιπτώσεις για την ασφάλεια του ηλεκτρονικού εμπορίου
Η εμφάνιση του skimming που βασίζεται στο WebRTC υπογραμμίζει μια στροφή προς πιο εξελιγμένες τεχνικές αποφυγής σε επίπεδο πρωτοκόλλου. Οι οργανισμοί που λειτουργούν πλατφόρμες ηλεκτρονικού εμπορίου πρέπει να επεκτείνουν τις αμυντικές τους στρατηγικές πέρα από την παρακολούθηση που βασίζεται στο HTTP και να ενσωματώσουν βαθύτερο έλεγχο των μη παραδοσιακών καναλιών επικοινωνίας για την αποτελεσματική αντιμετώπιση των εξελισσόμενων απειλών.
