WebRTC Skimmer
Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerde betaalfraude ontdekt die gebruikmaakt van WebRTC-datakanalen om op heimelijke wijze schadelijke software te bemachtigen en gevoelige gegevens te stelen. In tegenstelling tot traditionele fraudeprogramma's die afhankelijk zijn van HTTP-verzoeken of beeldbakens, opereert deze variant buiten de gebruikelijke webverkeerspatronen, wat detectie aanzienlijk bemoeilijkt.
Inhoudsopgave
Toegangspunt voor exploitatie: De PolyShell-kwetsbaarheid
De aanvalscampagne werd herleid tot de exploitatie van PolyShell, een kritieke kwetsbaarheid die Magento Open Source en Adobe Commerce-platforms treft. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om willekeurige uitvoerbare bestanden te uploaden via de REST API, wat uiteindelijk leidt tot volledige uitvoering van code op afstand.
Sinds 19 maart 2026 wordt de kwetsbaarheid op grote schaal actief misbruikt. Er zijn meer dan 50 IP-adressen waargenomen die scans uitvoeren, waarbij onderzoekers PolyShell-gerelateerde inbreuken hebben gedetecteerd in ongeveer 56,7% van de kwetsbare webwinkels.
Aanvalsmechanismen: WebRTC als stealthkanaal
De skimmer werkt als een zelfuitvoerend script dat is ingebed in gecompromitteerde websites. Bij uitvoering initieert het een WebRTC-peerverbinding met een vastgelegd IP-adres (202.181.177.177) via UDP-poort 3479. Via dit kanaal haalt het extra kwaadaardige JavaScript op, dat direct in de webpagina wordt geïnjecteerd om betaalgegevens te verzamelen.
De belangrijkste kenmerken van deze techniek zijn:
- Gebruik van WebRTC-datakanalen in plaats van traditionele HTTP-gebaseerde communicatie.
- Dynamisch ophalen en uitvoeren van kwaadaardige scripts
- Directe injectie in webpagina's die betalingsinformatie verwerken
Beveiligingsontwijking: het omzeilen van traditionele verdedigingsmechanismen
Deze aanpak is een opmerkelijke vooruitgang in skimmingtechnieken, omdat het in staat is om veelgebruikte beveiligingsmaatregelen te omzeilen. Content Security Policy (CSP), dat vaak wordt gebruikt om ongeautoriseerde uitgaande verbindingen te beperken, biedt geen effectieve oplossing voor deze dreiging.
Zelfs omgevingen met strikte CSP-configuraties die al het ongeautoriseerde HTTP-verkeer blokkeren, blijven kwetsbaar. WebRTC-verkeer verloopt via DTLS-versleuteld UDP in plaats van HTTP, waardoor het onzichtbaar is voor veel netwerkmonitorings- en inspectietools. Hierdoor kunnen gestolen betaalgegevens volledig aan detectie ontsnappen.
Beschikbaarheid van patches en verdedigingsmaatregelen
Adobe heeft de PolyShell-kwetsbaarheid verholpen in versie 2.4.9-beta1, die op 10 maart 2026 is uitgebracht. Het is cruciaal om de kwetsbaarheid direct te patchen om misbruik te voorkomen.
Om de blootstelling te verminderen en mogelijke inbreuken op te sporen, worden de volgende maatregelen ten zeerste aanbevolen:
Beperk de toegang tot de map pub/media/custom_options/
Voer grondige scans uit op webshells, backdoors en andere kwaadaardige elementen.
Strategische implicaties voor de beveiliging van e-commerce
De opkomst van WebRTC-gebaseerde skimming wijst op een verschuiving naar meer geavanceerde ontwijktechnieken op protocolniveau. Organisaties die e-commerceplatforms beheren, moeten hun verdedigingsstrategieën uitbreiden van HTTP-gerichte monitoring naar een grondigere inspectie van niet-traditionele communicatiekanalen om effectief de steeds veranderende dreigingen het hoofd te bieden.
