WebRTC-skimmer
Cybersäkerhetsforskare har identifierat en avancerad betalningsskimmer som använder WebRTC DataChannels för att i smyg hämta skadliga nyttolaster och stjäla känslig data. Till skillnad från traditionella skimmers som förlitar sig på HTTP-förfrågningar eller bildfyrar, fungerar denna variant utanför konventionella webbtrafikmönster, vilket avsevärt komplicerar upptäcktsarbetet.
Innehållsförteckning
Ingångspunkt för utnyttjande: PolyShell-sårbarheten
Attackkampanjen spårades tillbaka till utnyttjandet av PolyShell, en kritisk sårbarhet som påverkar Magento Open Source och Adobe Commerce-plattformarna. Denna brist gör det möjligt för oautentiserade angripare att ladda upp godtyckliga körbara filer via REST API:et, vilket i slutändan leder till fullständig fjärrkörning av kod.
Sedan den 19 mars 2026 har sårbarheten utnyttjats aktivt i stor skala. Över 50 IP-adresser har observerats utföra skanningsoperationer, och forskare har upptäckt PolyShell-relaterade intrång i cirka 56,7 % av de sårbara webbutikerna.
Attackmekanik: WebRTC som en smygkanal
Skimmern fungerar som ett självexekverande skript inbäddat i komprometterade webbplatser. Vid exekvering initierar den en WebRTC-peer-anslutning till en hårdkodad IP-adress (202.181.177.177) via UDP-port 3479. Genom denna kanal hämtar den ytterligare skadlig JavaScript, som injiceras direkt på webbsidan för att samla in betalningsdata.
Viktiga egenskaper hos denna teknik inkluderar:
- Användning av WebRTC DataChannels istället för traditionell HTTP-baserad kommunikation
- Dynamisk hämtning och körning av skadliga skript
- Direktinjicering i webbsidor som hanterar betalningsinformation
Säkerhetsundandragande: Att kringgå traditionella försvar
Denna metod representerar ett anmärkningsvärt framsteg inom skimmingtekniker på grund av dess förmåga att kringgå allmänt använda säkerhetskontroller. Content Security Policy (CSP), som ofta används för att begränsa obehöriga utgående anslutningar, minskar inte effektivt detta hot.
Även miljöer med strikta CSP-konfigurationer som blockerar all obehörig HTTP-trafik förblir sårbara. WebRTC-trafik körs över DTLS-krypterad UDP snarare än HTTP, vilket gör den osynlig för många nätverksövervaknings- och inspektionsverktyg. Som ett resultat kan exfiltrerade betalningsdata kringgå detektering helt.
Tillgänglighet av patchar och försvarsåtgärder
Adobe åtgärdade PolyShell-sårbarheten i version 2.4.9-beta1, som släpptes den 10 mars 2026. Omedelbar patchning är avgörande för att förhindra utnyttjande.
För att minska exponeringen och upptäcka potentiell risk för smitta rekommenderas starkt följande åtgärder:
Begränsa åtkomst till katalogen pub/media/custom_options/
Genomför noggranna skanningar efter webbskal, bakdörrar och andra skadliga artefakter
Strategiska implikationer för e-handelssäkerhet
Framväxten av WebRTC-baserad skimming belyser ett skifte mot mer sofistikerade, protokollnivåbaserade kringgående tekniker. Organisationer som driver e-handelsplattformar måste utöka sina defensiva strategier bortom HTTP-centrerad övervakning och införliva djupare inspektion av icke-traditionella kommunikationskanaler för att effektivt motverka nya hot.
