WebRTC-skimmer
Forskere på nettsikkerhet har identifisert en avansert betalingsskimmer som bruker WebRTC DataChannels til å i hemmelighet hente skadelige nyttelaster og tømme sensitive data. I motsetning til tradisjonelle skimmere som er avhengige av HTTP-forespørsler eller bildebeacons, opererer denne varianten utenfor konvensjonelle nettrafikkmønstre, noe som kompliserer deteksjonsarbeidet betydelig.
Innholdsfortegnelse
Inngangspunkt for utnyttelse: PolyShell-sårbarheten
Angrepskampanjen ble sporet tilbake til utnyttelsen av PolyShell, en kritisk sårbarhet som påvirker Magento Open Source- og Adobe Commerce-plattformene. Denne feilen gjør det mulig for uautoriserte angripere å laste opp vilkårlige kjørbare filer gjennom REST API-et, noe som til slutt fører til full ekstern kjøring av kode.
Siden 19. mars 2026 har sårbarheten blitt aktivt utnyttet i stor skala. Over 50 IP-adresser har blitt observert mens de utfører skanneoperasjoner, og forskere har oppdaget PolyShell-relaterte kompromitteringer i omtrent 56,7 % av sårbare nettbutikker.
Angrepsmekanikk: WebRTC som en stealth-kanal
Skimmeren fungerer som et selvkjørende skript innebygd i kompromitterte nettsteder. Ved kjøring starter den en WebRTC-peer-tilkobling til en hardkodet IP-adresse (202.181.177.177) via UDP-port 3479. Gjennom denne kanalen henter den ytterligere ondsinnet JavaScript, som injiseres direkte på nettsiden for å samle inn betalingsdata.
Viktige egenskaper ved denne teknikken inkluderer:
- Bruk av WebRTC DataChannels i stedet for tradisjonell HTTP-basert kommunikasjon
- Dynamisk henting og utførelse av ondsinnede skript
- Direkteinnsprøytning i nettsider som håndterer betalingsinformasjon
Sikkerhetsunndragelse: Omgåelse av tradisjonelle forsvarsmekanismer
Denne tilnærmingen representerer et bemerkelsesverdig fremskritt innen skimming-teknikker på grunn av dens evne til å omgå bredt distribuerte sikkerhetskontroller. Content Security Policy (CSP), som ofte brukes til å begrense uautoriserte utgående tilkoblinger, reduserer ikke denne trusselen effektivt.
Selv miljøer med strenge CSP-konfigurasjoner som blokkerer all uautorisert HTTP-trafikk forblir sårbare. WebRTC-trafikk opererer over DTLS-kryptert UDP i stedet for HTTP, noe som gjør den usynlig for mange nettverksovervåkings- og inspeksjonsverktøy. Som et resultat kan eksfiltrerte betalingsdata omgå deteksjon fullstendig.
Tilgjengelighet av oppdateringer og forsvarstiltak
Adobe adresserte PolyShell-sårbarheten i versjon 2.4.9-beta1, utgitt 10. mars 2026. Umiddelbar oppdatering er avgjørende for å forhindre utnyttelse.
For å redusere eksponering og oppdage potensiell kompromiss, anbefales følgende tiltak på det sterkeste:
Begrens tilgang til pub/media/custom_options/-katalogen
Utfør grundige skanninger etter webshells, bakdører og andre skadelige gjenstander
Strategiske implikasjoner for e-handelssikkerhet
Fremveksten av WebRTC-basert skimming fremhever et skifte mot mer sofistikerte unnvikelsesteknikker på protokollnivå. Organisasjoner som driver e-handelsplattformer må utvide sine defensive strategier utover HTTP-sentrisk overvåking og innlemme dypere inspeksjon av ikke-tradisjonelle kommunikasjonskanaler for effektivt å motvirke utviklende trusler.
