WebRTC Skimmer
Istraživači kibernetičke sigurnosti identificirali su napredni skimmer za plaćanja koji koristi WebRTC DataChannels za prikriveno preuzimanje zlonamjernih podataka i uklanjanje osjetljivih podataka. Za razliku od tradicionalnih skimmera koji se oslanjaju na HTTP zahtjeve ili slikovne beacone, ova varijanta djeluje izvan konvencionalnih obrazaca web prometa, što značajno komplicira napore otkrivanja.
Sadržaj
Ulazna točka iskorištavanja: Ranjivost PolyShella
Napadačka kampanja povezana je s iskorištavanjem PolyShella, kritične ranjivosti koja utječe na platforme Magento Open Source i Adobe Commerce. Ova ranjivost omogućuje neautentificiranim napadačima prijenos proizvoljnih izvršnih datoteka putem REST API-ja, što u konačnici dovodi do potpunog udaljenog izvršavanja koda.
Od 19. ožujka 2026. ranjivost se aktivno iskorištava u velikim razmjerima. Opaženo je preko 50 IP adresa koje provode operacije skeniranja, a istraživači su otkrili kompromitacije povezane s PolyShellom u otprilike 56,7% ranjivih internetskih trgovina.
Mehanika napada: WebRTC kao prikriveni kanal
Skimmer radi kao samostalno izvršavajuća skripta ugrađena u kompromitirane web stranice. Nakon izvršavanja, inicira WebRTC peer vezu s fiksno kodiranom IP adresom (202.181.177.177) putem UDP porta 3479. Putem ovog kanala dohvaća dodatni zlonamjerni JavaScript, koji se izravno ubrizgava u web stranicu kako bi prikupio podatke o plaćanju.
Ključne karakteristike ove tehnike uključuju:
- Korištenje WebRTC DataChannels umjesto tradicionalne komunikacije temeljene na HTTP-u
- Dinamičko dohvaćanje i izvršavanje zlonamjernih skripti
- Izravno ubrizgavanje u web stranice koje obrađuju podatke o plaćanju
Izbjegavanje sigurnosti: Zaobilaženje tradicionalnih obrana
Ovaj pristup predstavlja značajan napredak u tehnikama skimminga zbog svoje sposobnosti izbjegavanja široko rasprostranjenih sigurnosnih kontrola. Pravila sigurnosti sadržaja (CSP), na koja se često oslanja za ograničavanje neovlaštenih odlaznih veza, ne ublažavaju učinkovito ovu prijetnju.
Čak i okruženja sa strogim CSP konfiguracijama koje blokiraju sav neovlašteni HTTP promet ostaju ranjiva. WebRTC promet funkcionira preko DTLS-šifriranog UDP-a umjesto HTTP-a, što ga čini nevidljivim za mnoge alate za nadzor i inspekciju mreže. Kao rezultat toga, ukradeni podaci o plaćanju mogu u potpunosti zaobići detekciju.
Dostupnost zakrpa i obrambene mjere
Adobe je riješio ranjivost PolyShella u verziji 2.4.9-beta1, objavljenoj 10. ožujka 2026. Hitno ažuriranje zakrpa ključno je za sprječavanje iskorištavanja.
Kako bi se smanjila izloženost i otkrila potencijalna kompromitacija, toplo se preporučuju sljedeće mjere:
Ograniči pristup direktoriju pub/media/custom_options/
Provedite temeljito skeniranje web-ljuski, stražnjih vrata i drugih zlonamjernih artefakata
Strateške implikacije za sigurnost e-trgovine
Pojava skimminga temeljenog na WebRTC-u naglašava pomak prema sofisticiranijim tehnikama izbjegavanja na razini protokola. Organizacije koje upravljaju platformama za e-trgovinu moraju proširiti svoje obrambene strategije izvan HTTP-centričnog praćenja i uključiti dublji pregled netradicionalnih komunikacijskih kanala kako bi učinkovito suprotstavile prijetnjama koje se razvijaju.
