WebRTC Skimmer
Raziskovalci kibernetske varnosti so odkrili napredni skimmer za plačila, ki izkorišča WebRTC DataChannels za prikrito pridobivanje zlonamernih koristnih tovorov in izkoriščanje občutljivih podatkov. Za razliko od tradicionalnih skimerjev, ki se zanašajo na zahteve HTTP ali slikovne svetilnike, ta različica deluje zunaj običajnih vzorcev spletnega prometa, kar znatno otežuje prizadevanja za odkrivanje.
Kazalo
Vstopna točka izkoriščanja: ranljivost PolyShell
Napadalna kampanja je bila izsledljiva do izkoriščanja PolyShella, kritične ranljivosti, ki je prizadela platforme Magento Open Source in Adobe Commerce. Ta napaka omogoča neoverjenim napadalcem nalaganje poljubnih izvedljivih datotek prek REST API-ja, kar na koncu privede do popolnega oddaljenega izvajanja kode.
Od 19. marca 2026 se ranljivost aktivno izkorišča v velikem obsegu. Opaženih je bilo več kot 50 IP-naslovov, ki izvajajo operacije skeniranja, raziskovalci pa so odkrili kompromitacije, povezane s PolyShellom, v približno 56,7 % ranljivih spletnih trgovin.
Mehanika napada: WebRTC kot prikriti kanal
Skimmer deluje kot samoizvajajoča se skripta, vdelana v ogrožena spletna mesta. Ob zagonu vzpostavi povezavo WebRTC s trdo kodiranim IP-naslovom (202.181.177.177) prek vrat UDP 3479. Preko tega kanala pridobi dodatno zlonamerno kodo JavaScript, ki se vbrizga neposredno v spletno stran za zbiranje podatkov o plačilih.
Ključne značilnosti te tehnike vključujejo:
- Uporaba podatkovnih kanalov WebRTC namesto tradicionalne komunikacije na osnovi HTTP
- Dinamično pridobivanje in izvajanje zlonamernih skriptov
- Neposredno vbrizgavanje v spletne strani, ki obdelujejo podatke o plačilu
Izogibanje varnostnim ukrepom: Obhod tradicionalnih obrambnih ukrepov
Ta pristop predstavlja opazen napredek v tehnikah skimminga zaradi svoje sposobnosti izogibanja široko uporabljenim varnostnim kontrolam. Politika varnosti vsebine (CSP), na katero se pogosto zanašamo za omejevanje nepooblaščenih odhodnih povezav, te grožnje ne zmanjšuje učinkovito.
Tudi okolja s strogimi konfiguracijami ponudnikov plačilnih storitev (CSP), ki blokirajo ves nepooblaščen promet HTTP, ostajajo ranljiva. Promet WebRTC deluje prek UDP, šifriranega z DTLS, namesto prek HTTP, zaradi česar je neviden za številna orodja za spremljanje in pregledovanje omrežja. Posledično lahko ukradeni podatki o plačilih v celoti zaobidejo zaznavanje.
Razpoložljivost popravkov in obrambni ukrepi
Adobe je ranljivost PolyShell odpravil v različici 2.4.9-beta1, izdani 10. marca 2026. Takojšnja namestitev popravkov je ključnega pomena za preprečevanje izkoriščanja.
Za zmanjšanje izpostavljenosti in odkrivanje morebitnih ogroženosti so zelo priporočljivi naslednji ukrepi:
Omeji dostop do imenika pub/media/custom_options/
Izvedite temeljito skeniranje spletnih lupin, zadnjih vrat in drugih zlonamernih artefaktov
Strateške posledice za varnost e-trgovine
Pojav skimminga, ki temelji na WebRTC, poudarja premik k bolj sofisticiranim tehnikam izogibanja na ravni protokola. Organizacije, ki upravljajo platforme za e-trgovino, morajo razširiti svoje obrambne strategije onkraj spremljanja, osredotočenega na HTTP, in vključiti globlji pregled netradicionalnih komunikacijskih kanalov, da bi se učinkovito spopadle z razvijajočimi se grožnjami.
