WebRTC Skimmer

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ขโมยข้อมูลการชำระเงินขั้นสูงที่ใช้ประโยชน์จาก WebRTC DataChannels เพื่อดักจับข้อมูลที่เป็นอันตรายและขโมยข้อมูลสำคัญอย่างลับๆ แตกต่างจากมัลแวร์ขโมยข้อมูลแบบดั้งเดิมที่อาศัยคำขอ HTTP หรือบีคอนรูปภาพ มัลแวร์ชนิดนี้ทำงานนอกเหนือรูปแบบการรับส่งข้อมูลเว็บทั่วไป ทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก

จุดเข้าโจมตี: ช่องโหว่ PolyShell

จากการตรวจสอบพบว่าการโจมตีครั้งนี้มีต้นตอมาจากการใช้ช่องโหว่ PolyShell ซึ่งเป็นช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อแพลตฟอร์ม Magento Open Source และ Adobe Commerce ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถอัปโหลดไฟล์ปฏิบัติการใดๆ ผ่านทาง REST API ได้ ซึ่งท้ายที่สุดแล้วจะนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้อย่างสมบูรณ์

นับตั้งแต่วันที่ 19 มีนาคม 2569 ช่องโหว่นี้ถูกใช้ประโยชน์อย่างกว้างขวาง มีการตรวจพบที่อยู่ IP มากกว่า 50 แห่งที่ดำเนินการสแกน และนักวิจัยตรวจพบการโจมตีที่เกี่ยวข้องกับ PolyShell ในร้านค้าออนไลน์ที่มีช่องโหว่ประมาณ 56.7%

กลไกการโจมตี: WebRTC ในฐานะช่องทางลับ

โปรแกรมดักข้อมูลบัตรเครดิตทำงานเป็นสคริปต์ที่เรียกใช้งานตัวเองได้ ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกบุกรุก เมื่อถูกเรียกใช้งาน มันจะเริ่มต้นการเชื่อมต่อ WebRTC กับที่อยู่ IP ที่กำหนดไว้ล่วงหน้า (202.181.177.177) ผ่านพอร์ต UDP 3479 ผ่านช่องทางนี้ มันจะดึงโค้ด JavaScript ที่เป็นอันตรายเพิ่มเติม ซึ่งจะถูกแทรกเข้าไปในหน้าเว็บโดยตรงเพื่อขโมยข้อมูลการชำระเงิน

ลักษณะสำคัญของเทคนิคนี้ได้แก่:

• การใช้ WebRTC DataChannels แทนการสื่อสารแบบ HTTP ดั้งเดิม
• การดึงข้อมูลและการเรียกใช้สคริปต์ที่เป็นอันตรายแบบไดนามิก
• การแทรกข้อมูลโดยตรงลงในหน้าเว็บที่จัดการข้อมูลการชำระเงิน

การหลบเลี่ยงระบบรักษาความปลอดภัย: การเลี่ยงการป้องกันแบบดั้งเดิม

วิธีการนี้ถือเป็นความก้าวหน้าอย่างเห็นได้ชัดในเทคนิคการขโมยข้อมูลบัตรเครดิต เนื่องจากความสามารถในการหลีกเลี่ยงการควบคุมความปลอดภัยที่ใช้กันอย่างแพร่หลาย นโยบายความปลอดภัยของเนื้อหา (Content Security Policy หรือ CSP) ซึ่งมักใช้ในการจำกัดการเชื่อมต่อขาออกที่ไม่ได้รับอนุญาตนั้น ไม่สามารถลดภัยคุกคามนี้ได้อย่างมีประสิทธิภาพ

แม้แต่สภาพแวดล้อมที่มีการกำหนดค่า CSP ที่เข้มงวดซึ่งบล็อกการรับส่งข้อมูล HTTP ที่ไม่ได้รับอนุญาตทั้งหมด ก็ยังคงมีความเสี่ยงอยู่ การรับส่งข้อมูล WebRTC ทำงานผ่าน UDP ที่เข้ารหัส DTLS แทนที่จะเป็น HTTP ทำให้มองไม่เห็นโดยเครื่องมือตรวจสอบและเฝ้าระวังเครือข่ายหลายชนิด ส่งผลให้ข้อมูลการชำระเงินที่ถูกขโมยไปสามารถหลีกเลี่ยงการตรวจจับได้อย่างสิ้นเชิง

ความพร้อมใช้งานของแพทช์และมาตรการป้องกัน

Adobe ได้แก้ไขช่องโหว่ PolyShell ในเวอร์ชัน 2.4.9-beta1 ซึ่งวางจำหน่ายเมื่อวันที่ 10 มีนาคม 2026 การแก้ไขช่องโหว่โดยทันทีมีความสำคัญอย่างยิ่งเพื่อป้องกันการโจมตี

เพื่อลดความเสี่ยงและตรวจจับความผิดปกติที่อาจเกิดขึ้น ขอแนะนำอย่างยิ่งให้ปฏิบัติตามมาตรการต่อไปนี้:

จำกัดการเข้าถึงไดเร็กทอรี pub/media/custom_options/
ทำการสแกนอย่างละเอียดเพื่อตรวจหาเว็บเชลล์ แบ็กดอร์ และสิ่งที่เป็นอันตรายอื่นๆ

นัยสำคัญเชิงกลยุทธ์ด้านความปลอดภัยของอีคอมเมิร์ซ

การเกิดขึ้นของการโจรกรรมข้อมูลผ่าน WebRTC ชี้ให้เห็นถึงการเปลี่ยนแปลงไปสู่เทคนิคการหลบเลี่ยงที่ซับซ้อนมากขึ้นในระดับโปรโตคอล องค์กรที่ดำเนินงานแพลตฟอร์มอีคอมเมิร์ซต้องขยายกลยุทธ์การป้องกันของตนให้กว้างกว่าการตรวจสอบที่เน้น HTTP เพียงอย่างเดียว และต้องรวมการตรวจสอบเชิงลึกของช่องทางการสื่อสารที่ไม่ใช่แบบดั้งเดิม เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงไปอย่างมีประสิทธิภาพ