WebRTC Skimmer

Natukoy ng mga mananaliksik sa cybersecurity ang isang advanced payment skimmer na gumagamit ng WebRTC DataChannels upang palihim na makuha ang mga malisyosong payload at ma-exfiltrate ang sensitibong data. Hindi tulad ng mga tradisyunal na skimmer na umaasa sa mga HTTP request o image beacon, ang variant na ito ay gumagana sa labas ng mga kumbensyonal na pattern ng trapiko sa web, na lubhang nagpapahirap sa mga pagsisikap sa pag-detect.

Punto ng Pagpasok sa Pagsasamantala: Ang Kahinaan ng PolyShell

Ang kampanya ng pag-atake ay natunton pabalik sa pagsasamantala sa PolyShell, isang kritikal na kahinaan na nakakaapekto sa mga platform ng Magento Open Source at Adobe Commerce. Ang depektong ito ay nagbibigay-daan sa mga hindi awtorisadong attacker na mag-upload ng mga arbitraryong executable file sa pamamagitan ng REST API, na sa huli ay humahantong sa ganap na remote code executation.

Simula noong Marso 19, 2026, ang kahinaan ay aktibong sinasamantala nang malawakan. Mahigit 50 IP address ang naobserbahang nagsasagawa ng mga operasyon sa pag-scan, kung saan natukoy ng mga mananaliksik ang mga kompromiso na nauugnay sa PolyShell sa humigit-kumulang 56.7% ng mga mahihinang online na tindahan.

Mekaniko ng Pag-atake: WebRTC bilang isang Stealth Channel

Ang skimmer ay gumagana bilang isang self-executing script na naka-embed sa loob ng mga nakompromisong website. Sa oras ng pagpapatupad, sinisimulan nito ang isang WebRTC peer connection sa isang hard-coded IP address (202.181.177.177) sa pamamagitan ng UDP port 3479. Sa pamamagitan ng channel na ito, kumukuha ito ng karagdagang malisyosong JavaScript, na direktang inilalagay sa web page upang mangolekta ng data ng pagbabayad.

Ang mga pangunahing katangian ng pamamaraang ito ay kinabibilangan ng:

• Paggamit ng WebRTC DataChannels sa halip na tradisyonal na komunikasyon na nakabatay sa HTTP
• Dynamic na pagkuha at pagpapatupad ng mga malisyosong script
• Direktang paglalagay ng impormasyon sa mga web page na humahawak ng impormasyon sa pagbabayad

Pag-iwas sa Seguridad: Paglampas sa mga Tradisyunal na Depensa

Ang pamamaraang ito ay kumakatawan sa isang kapansin-pansing pagsulong sa mga pamamaraan ng skimming dahil sa kakayahan nitong maiwasan ang malawakang paggamit ng mga kontrol sa seguridad. Ang Content Security Policy (CSP), na kadalasang umaasa upang paghigpitan ang mga hindi awtorisadong papalabas na koneksyon, ay hindi epektibong nakakabawas sa banta na ito.

Kahit ang mga kapaligirang may mahigpit na mga configuration ng CSP na humaharang sa lahat ng hindi awtorisadong trapiko ng HTTP ay nananatiling mahina. Ang trapiko ng WebRTC ay tumatakbo sa pamamagitan ng DTLS-encrypted UDP sa halip na HTTP, kaya hindi ito nakikita ng maraming tool sa pagsubaybay at inspeksyon ng network. Bilang resulta, ang exfiltrated payment data ay maaaring ganap na malampasan ang pagtuklas.

Pagkakaroon ng Patch at mga Depensibong Hakbang

Tinugunan ng Adobe ang kahinaan ng PolyShell sa bersyon 2.4.9-beta1, na inilabas noong Marso 10, 2026. Mahalaga ang agarang pag-patch upang maiwasan ang pagsasamantala.

Upang mabawasan ang pagkakalantad at matukoy ang potensyal na pagkalat, ang mga sumusunod na hakbang ay lubos na inirerekomenda:

Paghigpitan ang access sa direktoryong pub/media/custom_options/
Magsagawa ng masusing pag-scan para sa mga web shell, backdoor, at iba pang malisyosong artifact

Mga Istratehikong Implikasyon para sa Seguridad ng E-Commerce

Ang paglitaw ng WebRTC-based skimming ay nagpapakita ng isang paglipat patungo sa mas sopistikadong mga pamamaraan ng pag-iwas sa antas ng protocol. Ang mga organisasyong nagpapatakbo ng mga platform ng e-commerce ay dapat palawakin ang kanilang mga diskarte sa pagtatanggol na lampas sa pagsubaybay na nakasentro sa HTTP at isama ang mas malalim na inspeksyon ng mga hindi tradisyonal na channel ng komunikasyon upang epektibong labanan ang mga nagbabagong banta.