WebRTC Skimmer
Siber güvenlik araştırmacıları, WebRTC Veri Kanallarını kullanarak gizlice kötü amaçlı yazılımları indiren ve hassas verileri sızdıran gelişmiş bir ödeme kopyalama yazılımı tespit etti. HTTP isteklerine veya görüntü işaretçilerine dayanan geleneksel kopyalama yazılımlarının aksine, bu varyant geleneksel web trafiği modellerinin dışında çalışarak tespit çabalarını önemli ölçüde zorlaştırıyor.
İçindekiler
Saldırı Giriş Noktası: PolyShell Güvenlik Açığı
Saldırı kampanyasının izi, Magento Açık Kaynak ve Adobe Commerce platformlarını etkileyen kritik bir güvenlik açığı olan PolyShell'in istismarına kadar sürüldü. Bu kusur, kimlik doğrulaması yapılmamış saldırganların REST API aracılığıyla rastgele çalıştırılabilir dosyalar yüklemesine ve nihayetinde uzaktan tam kod yürütülmesine olanak tanıyor.
19 Mart 2026'dan bu yana, bu güvenlik açığı büyük ölçekte aktif olarak istismar edilmektedir. 50'den fazla IP adresinin tarama işlemleri gerçekleştirdiği gözlemlenmiş olup, araştırmacılar savunmasız çevrimiçi mağazaların yaklaşık %56,7'sinde PolyShell ile ilgili ihlaller tespit etmiştir.
Saldırı Mekaniği: WebRTC Gizli Kanal Olarak
Bu zararlı yazılım, ele geçirilmiş web sitelerine yerleştirilmiş, kendi kendini yürüten bir komut dosyası olarak çalışır. Çalıştırıldığında, UDP 3479 portu üzerinden önceden belirlenmiş bir IP adresine (202.181.177.177) WebRTC eş bağlantısı başlatır. Bu kanal aracılığıyla, ödeme verilerini toplamak için doğrudan web sayfasına enjekte edilen ek zararlı JavaScript kodunu alır.
Bu tekniğin temel özellikleri şunlardır:
- Geleneksel HTTP tabanlı iletişim yerine WebRTC Veri Kanallarının kullanılması
- Zararlı komut dosyalarının dinamik olarak alınması ve yürütülmesi
- Ödeme bilgilerini işleyen web sayfalarına doğrudan enjeksiyon
Güvenlikten Kaçınma: Geleneksel Savunmaları Aşma
Bu yaklaşım, yaygın olarak kullanılan güvenlik kontrollerinden kaçınabilme özelliği nedeniyle, veri kopyalama tekniklerinde önemli bir ilerlemeyi temsil etmektedir. Yetkisiz giden bağlantıları kısıtlamak için sıklıkla başvurulan İçerik Güvenlik Politikası (CSP), bu tehdidi etkili bir şekilde azaltmamaktadır.
Yetkisiz HTTP trafiğini tamamen engelleyen katı CSP yapılandırmalarına sahip ortamlar bile savunmasız kalmaktadır. WebRTC trafiği HTTP yerine DTLS şifreli UDP üzerinden çalışır ve bu da onu birçok ağ izleme ve inceleme aracı için görünmez kılar. Sonuç olarak, sızdırılan ödeme verileri tamamen tespit edilmeden kalabilir.
Yama Kullanılabilirliği ve Savunma Önlemleri
Adobe, 10 Mart 2026'da yayınlanan 2.4.9-beta1 sürümünde PolyShell güvenlik açığını giderdi. İstismarı önlemek için acil yama uygulanması kritik önem taşıyor.
Maruz kalmayı azaltmak ve olası tehlikeleri tespit etmek için aşağıdaki önlemler şiddetle tavsiye edilir:
pub/media/custom_options/ dizinine erişimi kısıtla.
Web kabukları, arka kapılar ve diğer zararlı unsurlar için kapsamlı taramalar gerçekleştirin.
E-Ticaret Güvenliği İçin Stratejik Çıkarımlar
WebRTC tabanlı veri hırsızlığının ortaya çıkması, daha karmaşık, protokol düzeyinde kaçınma tekniklerine doğru bir kaymayı vurgulamaktadır. E-ticaret platformları işleten kuruluşlar, gelişen tehditlere etkili bir şekilde karşı koymak için savunma stratejilerini HTTP merkezli izlemenin ötesine genişletmeli ve geleneksel olmayan iletişim kanallarının daha derinlemesine incelenmesini içermelidir.
