Skimmer WebRTC
Penyelidik keselamatan siber telah mengenal pasti skimmer pembayaran canggih yang memanfaatkan WebRTC DataChannels untuk mendapatkan muatan berniat jahat secara senyap dan mengeluarkan data sensitif. Tidak seperti skimmer tradisional yang bergantung pada permintaan HTTP atau suar imej, varian ini beroperasi di luar corak trafik web konvensional, sekali gus merumitkan usaha pengesanan dengan ketara.
Isi kandungan
Titik Masuk Eksploitasi: Kerentanan PolyShell
Kempen serangan itu dikesan kembali kepada eksploitasi PolyShell, satu kelemahan kritikal yang menjejaskan platform Magento Open Source dan Adobe Commerce. Kecacatan ini membolehkan penyerang yang tidak disahkan memuat naik fail boleh laku sewenang-wenangnya melalui REST API, yang akhirnya membawa kepada pelaksanaan kod jarak jauh sepenuhnya.
Sejak 19 Mac 2026, kerentanan ini telah dieksploitasi secara aktif pada skala besar. Lebih 50 alamat IP telah diperhatikan menjalankan operasi pengimbasan, dengan penyelidik mengesan kompromi berkaitan PolyShell di kira-kira 56.7% kedai dalam talian yang terdedah.
Mekanik Serangan: WebRTC sebagai Saluran Stealth
Skimmer beroperasi sebagai skrip pelaksanaan sendiri yang terbenam dalam laman web yang diceroboh. Setelah dilaksanakan, ia memulakan sambungan rakan sebaya WebRTC ke alamat IP berkod keras (202.181.177.177) melalui port UDP 3479. Melalui saluran ini, ia mendapatkan JavaScript berniat jahat tambahan, yang disuntik terus ke dalam halaman web untuk menuai data pembayaran.
Ciri-ciri utama teknik ini termasuk:
- Penggunaan WebRTC DataChannels dan bukannya komunikasi berasaskan HTTP tradisional
- Pengambilan semula dan pelaksanaan skrip berniat jahat secara dinamik
- Suntikan terus ke dalam halaman web yang mengendalikan maklumat pembayaran
Pengelakan Keselamatan: Melangkaui Pertahanan Tradisional
Pendekatan ini mewakili kemajuan ketara dalam teknik skimming kerana keupayaannya untuk mengelak kawalan keselamatan yang digunakan secara meluas. Dasar Keselamatan Kandungan (CSP), yang sering diandalkan untuk menyekat sambungan keluar yang tidak dibenarkan, tidak berkesan mengurangkan ancaman ini.
Walaupun persekitaran dengan konfigurasi CSP ketat yang menyekat semua trafik HTTP yang tidak dibenarkan masih terdedah. Trafik WebRTC beroperasi melalui UDP yang disulitkan DTLS dan bukannya HTTP, menjadikannya tidak kelihatan kepada banyak alat pemantauan dan pemeriksaan rangkaian. Akibatnya, data pembayaran yang diekstrak boleh memintas pengesanan sepenuhnya.
Ketersediaan Tampalan dan Langkah Pertahanan
Adobe telah menangani kelemahan PolyShell dalam versi 2.4.9-beta1, yang dikeluarkan pada 10 Mac 2026. Penampalan segera adalah penting untuk mencegah eksploitasi.
Untuk mengurangkan pendedahan dan mengesan potensi gangguan, langkah-langkah berikut amat disyorkan:
Hadkan akses ke direktori pub/media/custom_options/
Lakukan imbasan menyeluruh untuk cangkerang web, pintu belakang dan artifak berniat jahat yang lain
Implikasi Strategik untuk Keselamatan E-Dagang
Kemunculan skimming berasaskan WebRTC menonjolkan peralihan ke arah teknik pengelakan peringkat protokol yang lebih canggih. Organisasi yang mengendalikan platform e-dagang mesti mengembangkan strategi pertahanan mereka melangkaui pemantauan berpusatkan HTTP dan menggabungkan pemeriksaan yang lebih mendalam terhadap saluran komunikasi bukan tradisional untuk menangani ancaman yang berkembang dengan berkesan.
