WebRTC Skimmer
Cercetătorii în domeniul securității cibernetice au identificat un skimmer avansat pentru plăți care utilizează canalele de date WebRTC pentru a recupera în mod discret sarcini utile malițioase și a exfiltra date sensibile. Spre deosebire de skimmerele tradiționale care se bazează pe cereri HTTP sau beacon-uri de imagine, această variantă funcționează în afara tiparelor convenționale de trafic web, complicând semnificativ eforturile de detectare.
Cuprins
Punct de intrare în exploatare: Vulnerabilitatea PolyShell
Campania de atac a fost atribuită exploatării PolyShell, o vulnerabilitate critică care afectează platformele Magento Open Source și Adobe Commerce. Această vulnerabilitate permite atacatorilor neautentificați să încarce fișiere executabile arbitrare prin intermediul API-ului REST, ducând în cele din urmă la executarea completă a codului la distanță.
Începând cu 19 martie 2026, vulnerabilitatea a fost exploatată activ la scară largă. Peste 50 de adrese IP au fost observate efectuând operațiuni de scanare, cercetătorii detectând compromisuri legate de PolyShell în aproximativ 56,7% din magazinele online vulnerabile.
Mecanica de atac: WebRTC ca un canal Stealth
Skimmer-ul funcționează ca un script autoexecutabil încorporat în site-uri web compromise. La executare, inițiază o conexiune WebRTC peer la o adresă IP hard-codată (202.181.177.177) prin portul UDP 3479. Prin acest canal, preia cod JavaScript malițios suplimentar, care este injectat direct în pagina web pentru a colecta date despre plăți.
Caracteristicile cheie ale acestei tehnici includ:
- Utilizarea canalelor de date WebRTC în locul comunicării tradiționale bazate pe HTTP
- Recuperarea și executarea dinamică a scripturilor malițioase
- Injectarea directă în paginile web care gestionează informațiile de plată
Evadarea securității: ocolirea apărărilor tradiționale
Această abordare reprezintă un progres notabil în tehnicile de skimming datorită capacității sale de a eluda controalele de securitate implementate pe scară largă. Politica de securitate a conținutului (CSP), adesea utilizată pentru a restricționa conexiunile neautorizate de ieșire, nu atenuează eficient această amenințare.
Chiar și mediile cu configurații CSP stricte care blochează tot traficul HTTP neautorizat rămân vulnerabile. Traficul WebRTC funcționează prin UDP criptat cu DTLS în loc de HTTP, ceea ce îl face invizibil pentru multe instrumente de monitorizare și inspecție a rețelei. Drept urmare, datele de plată exfiltrate pot ocoli complet detectarea.
Disponibilitatea patch-urilor și măsuri defensive
Adobe a remediat vulnerabilitatea PolyShell în versiunea 2.4.9-beta1, lansată pe 10 martie 2026. Aplicarea imediată a corecțiilor este esențială pentru a preveni exploatarea.
Pentru a reduce expunerea și a detecta potențialele compromisuri, se recomandă insistent următoarele măsuri:
Restricționează accesul la directorul pub/media/custom_options/
Efectuați scanări amănunțite pentru a identifica shell-uri web, backdoor-uri și alte artefacte malițioase
Implicații strategice pentru securitatea comerțului electronic
Apariția skimming-ului bazat pe WebRTC evidențiază o trecere către tehnici de evitare a atacurilor mai sofisticate, la nivel de protocol. Organizațiile care operează platforme de comerț electronic trebuie să își extindă strategiile defensive dincolo de monitorizarea centrată pe HTTP și să încorporeze o inspecție mai profundă a canalelor de comunicare netradiționale pentru a contracara eficient amenințările în continuă evoluție.
