WebRTC Skimmer
Исследователи в области кибербезопасности выявили продвинутый скиммер для платежей, который использует WebRTC DataChannels для скрытого получения вредоносных данных и кражи конфиденциальной информации. В отличие от традиционных скиммеров, использующих HTTP-запросы или графические маяки, этот вариант работает вне рамок обычного веб-трафика, что значительно усложняет обнаружение.
Оглавление
Точка входа для эксплуатации уязвимости: уязвимость PolyShell.
Атака была связана с использованием уязвимости PolyShell, критической уязвимости, затрагивающей платформы Magento Open Source и Adobe Commerce. Эта уязвимость позволяет неавторизованным злоумышленникам загружать произвольные исполняемые файлы через REST API, что в конечном итоге приводит к полному удаленному выполнению кода.
Начиная с 19 марта 2026 года, уязвимость активно используется в масштабах всей сети. Было зафиксировано сканирование более чем 50 IP-адресов, при этом исследователи обнаружили связанные с PolyShell компрометации примерно в 56,7% уязвимых интернет-магазинов.
Механизмы атаки: WebRTC как скрытый канал.
Скиммер работает как самоисполняемый скрипт, встроенный во скомпрометированные веб-сайты. После запуска он инициирует соединение WebRTC с жестко закодированным IP-адресом (202.181.177.177) через UDP-порт 3479. Через этот канал он получает дополнительный вредоносный JavaScript, который внедряется непосредственно в веб-страницу для сбора платежных данных.
Ключевые характеристики данной методики включают в себя:
- Использование WebRTC DataChannels вместо традиционной связи на основе HTTP.
- Динамическое извлечение и выполнение вредоносных скриптов.
- Прямая инъекция в веб-страницы, обрабатывающие платежную информацию.
Обход системы безопасности: преодоление традиционных средств защиты.
Этот подход представляет собой значительный шаг вперед в методах скимминга благодаря своей способности обходить широко используемые средства контроля безопасности. Политика безопасности контента (CSP), часто используемая для ограничения несанкционированных исходящих соединений, неэффективно смягчает эту угрозу.
Даже среды со строгими настройками CSP, блокирующими весь несанкционированный HTTP-трафик, остаются уязвимыми. Трафик WebRTC работает по протоколу UDP с DTLS-шифрованием, а не по HTTP, что делает его невидимым для многих инструментов мониторинга и проверки сети. В результате украденные платежные данные могут полностью обойти обнаружение.
Доступность обновлений и меры защиты
Компания Adobe устранила уязвимость PolyShell в версии 2.4.9-beta1, выпущенной 10 марта 2026 года. Немедленное обновление крайне важно для предотвращения эксплуатации уязвимости.
Для снижения риска заражения и выявления потенциальных угроз настоятельно рекомендуется принять следующие меры:
Ограничить доступ к каталогу pub/media/custom_options/
Проведите тщательное сканирование на наличие веб-оболочек, бэкдоров и других вредоносных элементов.
Стратегические последствия для безопасности электронной коммерции
Появление методов скимминга на основе WebRTC подчеркивает переход к более изощренным методам обхода протоколов. Организациям, управляющим платформами электронной коммерции, необходимо расширить свои стратегии защиты за пределы мониторинга, ориентированного на HTTP, и включить более глубокий анализ нетрадиционных каналов связи для эффективного противодействия развивающимся угрозам.
