WebRTC Skimmer
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali pokročilý platobný skimmer, ktorý využíva dátové kanály WebRTC na nenápadné získavanie škodlivých údajov a odcudzovanie citlivých údajov. Na rozdiel od tradičných skimmerov, ktoré sa spoliehajú na HTTP požiadavky alebo obrazové majáky, tento variant funguje mimo konvenčných vzorcov webovej prevádzky, čo výrazne komplikuje úsilie o detekciu.
Obsah
Vstupný bod zneužitia: Zraniteľnosť PolyShell
Útočná kampaň bola vysledovaná späť k zneužitiu PolyShell, kritickej zraniteľnosti postihujúcej platformy Magento Open Source a Adobe Commerce. Táto chyba umožňuje neovereným útočníkom nahrávať ľubovoľné spustiteľné súbory prostredníctvom rozhrania REST API, čo v konečnom dôsledku vedie k úplnému spusteniu kódu na diaľku.
Od 19. marca 2026 sa táto zraniteľnosť aktívne zneužíva vo veľkom rozsahu. Pri skenovaní bolo pozorovaných viac ako 50 IP adries, pričom výskumníci zistili kompromitácie súvisiace s PolyShellom v približne 56,7 % zraniteľných online obchodov.
Mechanika útoku: WebRTC ako tajný kanál
Skimmer funguje ako samospúšťací skript vložený do napadnutých webových stránok. Po spustení inicializuje peer pripojenie WebRTC k pevne zakódovanej IP adrese (202.181.177.177) cez UDP port 3479. Prostredníctvom tohto kanála získava ďalší škodlivý JavaScript, ktorý sa vkladá priamo do webovej stránky na zhromažďovanie platobných údajov.
Medzi kľúčové vlastnosti tejto techniky patria:
- Použitie dátových kanálov WebRTC namiesto tradičnej komunikácie založenej na protokole HTTP
- Dynamické vyhľadávanie a vykonávanie škodlivých skriptov
- Priame vkladanie do webových stránok spracovávajúcich platobné informácie
Obchádzanie bezpečnosti: Obchádzanie tradičných obranných mechanizmov
Tento prístup predstavuje významný pokrok v technikách skimmingu vďaka svojej schopnosti obísť široko nasadené bezpečnostné kontroly. Zásady zabezpečenia obsahu (CSP), ktoré sa často používajú na obmedzenie neoprávnených odchádzajúcich pripojení, túto hrozbu účinne nezmierňujú.
Dokonca aj prostredia s prísnymi konfiguráciami CSP, ktoré blokujú všetku neoprávnenú HTTP prevádzku, zostávajú zraniteľné. Prevádzka WebRTC funguje cez UDP šifrovaný pomocou DTLS namiesto HTTP, vďaka čomu je pre mnohé nástroje na monitorovanie a kontrolu siete neviditeľná. V dôsledku toho môžu ukradnuté platobné údaje úplne obísť detekciu.
Dostupnosť záplat a obranné opatrenia
Spoločnosť Adobe vyriešila zraniteľnosť PolyShell vo verzii 2.4.9-beta1, ktorá bola vydaná 10. marca 2026. Okamžitá oprava je nevyhnutná na zabránenie zneužitia.
Na zníženie vystavenia a odhalenie potenciálneho ohrozenia sa dôrazne odporúčajú nasledujúce opatrenia:
Obmedziť prístup k adresáru pub/media/custom_options/
Vykonajte dôkladné kontroly webových škrupín, zadných vrátok a iných škodlivých artefaktov
Strategické dôsledky pre bezpečnosť elektronického obchodu
Vznik skimmingu založeného na WebRTC zdôrazňuje posun smerom k sofistikovanejším technikám obchádzania na úrovni protokolu. Organizácie prevádzkujúce platformy elektronického obchodu musia rozšíriť svoje obranné stratégie nad rámec monitorovania zameraného na HTTP a zahrnúť hlbšiu kontrolu netradičných komunikačných kanálov, aby účinne čelili vyvíjajúcim sa hrozbám.
