WebRTC скимер
Истраживачи сајбер безбедности идентификовали су напредни скимер за плаћања који користи WebRTC DataChannels за прикривено преузимање злонамерних корисних садржаја и крађу осетљивих података. За разлику од традиционалних скимера који се ослањају на HTTP захтеве или сликовне маяке, ова варијанта функционише ван конвенционалних образаца веб саобраћаја, што значајно компликује напоре за откривање.
Преглед садржаја
Улазна тачка експлоатације: Рањивост PolyShell-а
Праћење нападачке кампање повезано је са експлоатацијом PolyShell-а, критичне рањивости која погађа Magento Open Source и Adobe Commerce платформе. Ова мана омогућава неаутентификованим нападачима да отпремају произвољне извршне датотеке путем REST API-ја, што на крају доводи до потпуног даљинског извршавања кода.
Од 19. марта 2026. године, рањивост је активно искоришћена у великим размерама. Примећено је преко 50 IP адреса које спроводе операције скенирања, а истраживачи су открили компромисе повезане са PolyShell-ом у приближно 56,7% рањивих онлајн продавница.
Механика напада: WebRTC као скривени канал
Скимер функционише као самоизвршна скрипта уграђена у компромитоване веб странице. Након извршавања, покреће WebRTC пеер везу са чврсто кодираном IP адресом (202.181.177.177) преко UDP порта 3479. Преко овог канала, преузима додатни злонамерни JavaScript, који се директно убризгава у веб страницу ради прикупљања података о плаћању.
Кључне карактеристике ове технике укључују:
- Коришћење WebRTC DataChannels-а уместо традиционалне комуникације засноване на HTTP-у
- Динамичко преузимање и извршавање злонамерних скрипти
- Директно убризгавање у веб странице које обрађују информације о плаћању
Избегавање безбедности: Заобилажење традиционалних одбрана
Овај приступ представља значајан напредак у техникама скимирања због своје способности да избегне широко примењене безбедносне контроле. Политика безбедности садржаја (CSP), на коју се често ослања за ограничавање неовлашћених одлазних веза, не ублажава ефикасно ову претњу.
Чак и окружења са строгим CSP конфигурацијама које блокирају сав неовлашћени HTTP саобраћај остају рањива. WebRTC саобраћај функционише преко DTLS-шифрованог UDP-а уместо HTTP-а, што га чини невидљивим за многе алате за праћење и инспекцију мреже. Као резултат тога, украдени подаци о плаћању могу у потпуности заобићи детекцију.
Доступност закрпа и одбрамбене мере
Adobe је решио проблем са рањивошћу PolyShell у верзији 2.4.9-beta1, објављеној 10. марта 2026. године. Непосредно ажурирање је кључно за спречавање злоупотребе.
Да би се смањила изложеност и открило потенцијално угрожавање, следеће мере се топло препоручују:
Ограничите приступ директоријуму pub/media/custom_options/
Спроведите темељно скенирање веб шкољки, задњих врата и других злонамерних артефаката
Стратешке импликације за безбедност електронске трговине
Појава скиминга заснованог на WebRTC-у истиче помак ка софистициранијим техникама избегавања на нивоу протокола. Организације које управљају платформама за електронску трговину морају проширити своје одбрамбене стратегије изван HTTP-центричног праћења и укључити дубљи преглед нетрадиционалних комуникационих канала како би се ефикасно супротставиле еволуирајућим претњама.
