Skimmer WebRTC
I ricercatori nel campo della sicurezza informatica hanno identificato un sofisticato skimmer per pagamenti che sfrutta i DataChannels WebRTC per recuperare furtivamente payload dannosi ed esfiltrare dati sensibili. A differenza degli skimmer tradizionali che si basano su richieste HTTP o beacon di immagini, questa variante opera al di fuori dei modelli di traffico web convenzionali, complicando notevolmente le attività di rilevamento.
Sommario
Punto di ingresso per lo sfruttamento: la vulnerabilità PolyShell
La campagna di attacchi è stata ricondotta allo sfruttamento di PolyShell, una vulnerabilità critica che interessa le piattaforme Magento Open Source e Adobe Commerce. Questa falla consente ad aggressori non autenticati di caricare file eseguibili arbitrari tramite l'API REST, portando in definitiva all'esecuzione di codice in remoto.
Dal 19 marzo 2026, la vulnerabilità è stata sfruttata attivamente su larga scala. Sono stati osservati oltre 50 indirizzi IP impegnati in operazioni di scansione, e i ricercatori hanno rilevato compromissioni legate a PolyShell in circa il 56,7% dei negozi online vulnerabili.
Meccaniche di attacco: WebRTC come canale invisibile
Lo skimmer opera come uno script autoeseguibile incorporato in siti web compromessi. Una volta eseguito, avvia una connessione peer WebRTC a un indirizzo IP predefinito (202.181.177.177) tramite la porta UDP 3479. Attraverso questo canale, recupera ulteriore codice JavaScript dannoso, che viene iniettato direttamente nella pagina web per rubare i dati di pagamento.
Le caratteristiche principali di questa tecnica includono:
- Utilizzo dei canali dati WebRTC al posto della comunicazione tradizionale basata su HTTP.
- Recupero ed esecuzione dinamica di script dannosi
- Iniezione diretta nelle pagine web che gestiscono le informazioni di pagamento
Elusione della sicurezza: aggirare le difese tradizionali
Questo approccio rappresenta un notevole progresso nelle tecniche di skimming grazie alla sua capacità di eludere i controlli di sicurezza ampiamente diffusi. La Content Security Policy (CSP), spesso utilizzata per limitare le connessioni in uscita non autorizzate, non è in grado di mitigare efficacemente questa minaccia.
Anche gli ambienti con configurazioni CSP rigorose che bloccano tutto il traffico HTTP non autorizzato rimangono vulnerabili. Il traffico WebRTC opera su UDP crittografato con DTLS anziché su HTTP, rendendolo invisibile a molti strumenti di monitoraggio e ispezione di rete. Di conseguenza, i dati di pagamento esfiltrati possono eludere completamente il rilevamento.
Disponibilità delle patch e misure difensive
Adobe ha risolto la vulnerabilità PolyShell nella versione 2.4.9-beta1, rilasciata il 10 marzo 2026. È fondamentale applicare immediatamente la patch per prevenire lo sfruttamento della vulnerabilità.
Per ridurre l'esposizione e individuare potenziali compromissioni, si raccomanda vivamente di adottare le seguenti misure:
Limita l'accesso alla directory pub/media/custom_options/
Effettuare scansioni approfondite per individuare web shell, backdoor e altri artefatti dannosi.
Implicazioni strategiche per la sicurezza dell’e-commerce
L'emergere dello skimming basato su WebRTC evidenzia un cambiamento verso tecniche di elusione più sofisticate, a livello di protocollo. Le organizzazioni che gestiscono piattaforme di e-commerce devono ampliare le proprie strategie di difesa oltre il monitoraggio incentrato su HTTP e integrare un'analisi più approfondita dei canali di comunicazione non tradizionali per contrastare efficacemente le minacce in continua evoluzione.
