Skimmer WebRTC
Pesquisadores de cibersegurança identificaram um skimmer de pagamentos avançado que utiliza DataChannels do WebRTC para recuperar furtivamente payloads maliciosos e exfiltrar dados sensíveis. Ao contrário dos skimmers tradicionais que dependem de requisições HTTP ou beacons de imagem, essa variante opera fora dos padrões convencionais de tráfego web, o que complica significativamente os esforços de detecção.
Índice
Ponto de entrada para exploração: a vulnerabilidade PolyShell
A campanha de ataques foi rastreada até a exploração do PolyShell, uma vulnerabilidade crítica que afeta as plataformas Magento Open Source e Adobe Commerce. Essa falha permite que atacantes não autenticados carreguem arquivos executáveis arbitrários por meio da API REST, resultando na execução remota completa de código.
Desde 19 de março de 2026, a vulnerabilidade tem sido explorada ativamente em larga escala. Mais de 50 endereços IP foram observados realizando operações de varredura, com pesquisadores detectando comprometimentos relacionados ao PolyShell em aproximadamente 56,7% das lojas online vulneráveis.
Mecânicas de ataque: WebRTC como um canal furtivo
O skimmer funciona como um script autoexecutável incorporado em sites comprometidos. Após a execução, ele inicia uma conexão WebRTC com um endereço IP fixo (202.181.177.177) através da porta UDP 3479. Por meio desse canal, ele obtém JavaScript malicioso adicional, que é injetado diretamente na página da web para coletar dados de pagamento.
As principais características desta técnica incluem:
- Utilização de DataChannels WebRTC em vez da comunicação tradicional baseada em HTTP.
- Recuperação e execução dinâmica de scripts maliciosos
- Injeção direta em páginas web que manipulam informações de pagamento
Evasão de segurança: ignorando as defesas tradicionais
Essa abordagem representa um avanço notável nas técnicas de skimming devido à sua capacidade de burlar os controles de segurança amplamente implementados. A Política de Segurança de Conteúdo (CSP), frequentemente utilizada para restringir conexões de saída não autorizadas, não mitiga essa ameaça de forma eficaz.
Mesmo ambientes com configurações CSP rigorosas que bloqueiam todo o tráfego HTTP não autorizado permanecem vulneráveis. O tráfego WebRTC opera sobre UDP criptografado por DTLS em vez de HTTP, tornando-o invisível para muitas ferramentas de monitoramento e inspeção de rede. Como resultado, dados de pagamento exfiltrados podem passar completamente despercebidos.
Disponibilidade de patches e medidas defensivas
A Adobe corrigiu a vulnerabilidade PolyShell na versão 2.4.9-beta1, lançada em 10 de março de 2026. A aplicação imediata da correção é crucial para evitar a exploração da vulnerabilidade.
Para reduzir a exposição e detectar possíveis comprometimentos, as seguintes medidas são fortemente recomendadas:
Restringir o acesso ao diretório pub/media/custom_options/
Realize varreduras completas em busca de web shells, backdoors e outros artefatos maliciosos.
Implicações estratégicas para a segurança do comércio eletrônico
O surgimento de técnicas de skimming baseadas em WebRTC evidencia uma mudança em direção a técnicas de evasão mais sofisticadas, em nível de protocolo. Organizações que operam plataformas de comércio eletrônico precisam expandir suas estratégias de defesa, indo além do monitoramento centrado em HTTP e incorporando uma inspeção mais profunda de canais de comunicação não tradicionais para combater eficazmente as ameaças em constante evolução.
