قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار اسکیمر WebRTC

اسکیمر WebRTC

تا Mezo در بدافزار
ترجمه به:

محققان امنیت سایبری یک اسکیمر پرداخت پیشرفته را شناسایی کرده‌اند که از WebRTC DataChannels برای بازیابی مخفیانه‌ی بارهای مخرب و استخراج داده‌های حساس استفاده می‌کند. برخلاف اسکیمرهای سنتی که به درخواست‌های HTTP یا چراغ‌های تصویر متکی هستند، این نوع اسکیمر خارج از الگوهای ترافیک وب مرسوم عمل می‌کند و تلاش‌های شناسایی را به طور قابل توجهی پیچیده می‌کند.

نقطه ورود بهره‌برداری: آسیب‌پذیری PolyShell

این کمپین حمله به سوءاستفاده از PolyShell، یک آسیب‌پذیری بحرانی که پلتفرم‌های Magento Open Source و Adobe Commerce را تحت تأثیر قرار می‌دهد، برمی‌گردد. این نقص به مهاجمان غیرمجاز اجازه می‌دهد تا فایل‌های اجرایی دلخواه را از طریق REST API بارگذاری کنند و در نهایت منجر به اجرای کامل کد از راه دور شوند.

از ۱۹ مارس ۲۰۲۶، این آسیب‌پذیری به طور فعال در مقیاس وسیع مورد سوءاستفاده قرار گرفته است. بیش از ۵۰ آدرس IP در حال انجام عملیات اسکن مشاهده شده‌اند و محققان تقریباً در ۵۶.۷٪ از فروشگاه‌های آنلاین آسیب‌پذیر، آسیب‌پذیری‌های مرتبط با PolyShell را شناسایی کرده‌اند.

مکانیک حمله: WebRTC به عنوان یک کانال مخفی

این اسکیمر به عنوان یک اسکریپت خوداجرا شونده که در وب‌سایت‌های آلوده جاسازی شده است، عمل می‌کند. پس از اجرا، یک اتصال همتا به WebRTC را از طریق پورت UDP 3479 به یک آدرس IP کدگذاری شده (202.181.177.177) آغاز می‌کند. از طریق این کانال، جاوا اسکریپت مخرب دیگری را بازیابی می‌کند که مستقیماً به صفحه وب تزریق می‌شود تا داده‌های پرداخت را جمع‌آوری کند.

ویژگی‌های کلیدی این تکنیک عبارتند از:

  • استفاده از کانال‌های داده WebRTC به جای ارتباطات سنتی مبتنی بر HTTP
  • بازیابی پویا و اجرای اسکریپت‌های مخرب
  • تزریق مستقیم به صفحات وب که اطلاعات پرداخت را مدیریت می‌کنند

گریز امنیتی: دور زدن دفاع‌های سنتی

این رویکرد به دلیل توانایی‌اش در فرار از کنترل‌های امنیتی گسترده، پیشرفت قابل توجهی در تکنیک‌های اسکیمینگ (skimming) نشان می‌دهد. سیاست امنیت محتوا (CSP) که اغلب برای محدود کردن اتصالات خروجی غیرمجاز به آن متکی است، به طور مؤثر این تهدید را کاهش نمی‌دهد.

حتی محیط‌هایی با پیکربندی‌های دقیق CSP که تمام ترافیک HTTP غیرمجاز را مسدود می‌کنند، همچنان آسیب‌پذیر هستند. ترافیک WebRTC به جای HTTP، بر روی UDP رمزگذاری شده با DTLS عمل می‌کند و این امر آن را برای بسیاری از ابزارهای نظارت و بازرسی شبکه نامرئی می‌کند. در نتیجه، داده‌های پرداخت استخراج شده می‌توانند به طور کامل از تشخیص عبور کنند.

در دسترس بودن وصله‌ها و اقدامات دفاعی

ادوبی آسیب‌پذیری PolyShell را در نسخه ۲.۴.۹-بتا۱ که در ۱۰ مارس ۲۰۲۶ منتشر شد، برطرف کرد. به‌روزرسانی فوری برای جلوگیری از سوءاستفاده بسیار مهم است.

برای کاهش مواجهه و شناسایی خطرات احتمالی، اقدامات زیر اکیداً توصیه می‌شود:

محدود کردن دسترسی به دایرکتوری pub/media/custom_options/
اسکن‌های کاملی برای یافتن پوسته‌های وب، درهای پشتی و سایر مصنوعات مخرب انجام دهید.

پیامدهای استراتژیک برای امنیت تجارت الکترونیک

ظهور اسکیمینگ مبتنی بر WebRTC، نشان‌دهنده‌ی تغییر به سمت تکنیک‌های پیچیده‌تر و در سطح پروتکل گریز است. سازمان‌هایی که پلتفرم‌های تجارت الکترونیک را اداره می‌کنند، باید استراتژی‌های دفاعی خود را فراتر از نظارت مبتنی بر HTTP گسترش دهند و بازرسی عمیق‌تری از کانال‌های ارتباطی غیرسنتی را برای مقابله مؤثر با تهدیدهای در حال تحول در نظر بگیرند.

پرطرفدار

کمپین نفوذ به فضای ابری UNC4899

تهدید مداوم پیشرفته (APT)
یک نفوذ سایبری پیچیده در سال ۲۰۲۵ به گروه UNC4899، عامل تهدید کره شمالی، مرتبط دانسته شده است. این گروه مظنون به سازماندهی یک حمله سایبری گسترده به یک سازمان ارز دیجیتال است که منجر به سرقت میلیون‌ها دلار دارایی دیجیتال شده است. این کمپین با اطمینان متوسط به این دشمن تحت حمایت دولت نسبت داده شده است که با نام‌های دیگری از جمله Jade Sleet، PUKCHONG، Slow Pisces و TraderTraitor نیز ردیابی می‌شود....

پربیننده ترین

بارگذاری...