Skimmer WebRTC
Badacze cyberbezpieczeństwa zidentyfikowali zaawansowany skimmer płatności, który wykorzystuje technologię WebRTC DataChannels do ukrytego pobierania złośliwych danych i wykradania poufnych danych. W przeciwieństwie do tradycyjnych skimmerów, które opierają się na żądaniach HTTP lub sygnałach nawigacyjnych, ten wariant działa poza konwencjonalnymi wzorcami ruchu sieciowego, co znacznie komplikuje proces wykrywania.
Spis treści
Punkt wejścia do wykorzystania: luka w zabezpieczeniach PolyShell
Kampania ataków została powiązana z wykorzystaniem PolyShell, krytycznej luki w zabezpieczeniach platform Magento Open Source i Adobe Commerce. Luka ta umożliwia nieuwierzytelnionym atakującym przesyłanie dowolnych plików wykonywalnych za pośrednictwem interfejsu API REST, co ostatecznie prowadzi do całkowitego zdalnego wykonania kodu.
Od 19 marca 2026 roku luka ta jest aktywnie wykorzystywana na dużą skalę. Zaobserwowano, że ponad 50 adresów IP przeprowadzało operacje skanowania, a badacze wykryli naruszenia związane z PolyShell w około 56,7% podatnych sklepów internetowych.
Mechanika ataku: WebRTC jako kanał ukryty
Skimmer działa jako samoczynnie uruchamiający się skrypt osadzony w zainfekowanych stronach internetowych. Po uruchomieniu inicjuje połączenie peer-to-peer WebRTC z zakodowanym na stałe adresem IP (202.181.177.177) przez port UDP 3479. Za pośrednictwem tego kanału pobiera dodatkowy złośliwy kod JavaScript, który jest wstrzykiwany bezpośrednio do strony internetowej w celu zebrania danych dotyczących płatności.
Do najważniejszych cech tej techniki należą:
- Wykorzystanie kanałów danych WebRTC zamiast tradycyjnej komunikacji opartej na protokole HTTP
- Dynamiczne pobieranie i wykonywanie złośliwych skryptów
- Bezpośrednie wprowadzanie danych do stron internetowych obsługujących informacje o płatnościach
Unikanie zabezpieczeń: omijanie tradycyjnych metod obrony
To podejście stanowi znaczący postęp w technikach skimmingu ze względu na możliwość obejścia powszechnie stosowanych zabezpieczeń. Polityka bezpieczeństwa treści (CSP), często wykorzystywana do ograniczania nieautoryzowanych połączeń wychodzących, nie jest skutecznym sposobem na ograniczenie tego zagrożenia.
Nawet środowiska z rygorystycznymi konfiguracjami CSP, które blokują cały nieautoryzowany ruch HTTP, pozostają podatne na ataki. Ruch WebRTC jest przesyłany przez protokół UDP z szyfrowaniem DTLS, a nie HTTP, co czyni go niewidocznym dla wielu narzędzi do monitorowania i inspekcji sieci. W rezultacie wykradzione dane dotyczące płatności mogą całkowicie ominąć mechanizm wykrywania.
Dostępność poprawek i środki obronne
Firma Adobe usunęła lukę w zabezpieczeniach PolyShell w wersji 2.4.9-beta1, wydanej 10 marca 2026 r. Natychmiastowe zastosowanie poprawek jest kluczowe, aby zapobiec wykorzystaniu luki.
Aby ograniczyć narażenie i wykryć potencjalne zagrożenia, zdecydowanie zaleca się podjęcie następujących działań:
Ogranicz dostęp do katalogu pub/media/custom_options/
Przeprowadź dokładne skanowanie w poszukiwaniu powłok sieciowych, tylnych furtek i innych złośliwych artefaktów
Strategiczne implikacje dla bezpieczeństwa handlu elektronicznego
Pojawienie się skimmingu opartego na WebRTC uwydatnia przesunięcie w kierunku bardziej zaawansowanych technik omijania zabezpieczeń na poziomie protokołu. Organizacje obsługujące platformy e-commerce muszą rozszerzyć swoje strategie obronne poza monitorowanie zorientowane na protokół HTTP i włączyć głębszą inspekcję niestandardowych kanałów komunikacji, aby skutecznie przeciwdziałać ewoluującym zagrożeniom.
