WebRTC скімер
Дослідники з кібербезпеки виявили вдосконалений скіммер для платежів, який використовує WebRTC DataChannels для прихованого отримання шкідливих корисних даних та вилучення конфіденційних даних. На відміну від традиційних скіммерів, які покладаються на HTTP-запити або маяки зображень, цей варіант працює поза межами звичайних шаблонів веб-трафіку, що значно ускладнює зусилля з виявлення.
Зміст
Точка входу в експлуатацію: вразливість PolyShell
Атаку пов’язують з використанням PolyShell, критичної вразливості, що впливає на платформи Magento з відкритим кодом та Adobe Commerce. Ця вразливість дозволяє неавтентифікованим зловмисникам завантажувати довільні виконувані файли через REST API, що зрештою призводить до повного віддаленого виконання коду.
З 19 березня 2026 року вразливість активно експлуатується у великих масштабах. Було виявлено понад 50 IP-адрес, які проводили операції сканування, а дослідники виявили пов'язані з PolyShell компрометації приблизно у 56,7% вразливих інтернет-магазинів.
Механіка атаки: WebRTC як прихований канал
Скімер працює як самовиконуваний скрипт, вбудований у скомпрометовані вебсайти. Після виконання він ініціює з’єднання WebRTC з жорстко закодованою IP-адресою (202.181.177.177) через UDP-порт 3479. Через цей канал він отримує додатковий шкідливий JavaScript, який вводиться безпосередньо на вебсторінку для збору платіжних даних.
Ключові характеристики цієї техніки включають:
- Використання WebRTC DataChannels замість традиційного зв'язку на основі HTTP
- Динамічне отримання та виконання шкідливих скриптів
- Пряме введення на веб-сторінки, що обробляють платіжну інформацію
Ухилення від захисту: обхід традиційних засобів захисту
Цей підхід являє собою значний прогрес у методах скіммінгу завдяки його здатності обходити широко розгорнуті засоби контролю безпеки. Політика безпеки контенту (CSP), яка часто використовується для обмеження несанкціонованих вихідних з’єднань, не ефективно усуває цю загрозу.
Навіть середовища зі суворими конфігураціями CSP, які блокують весь несанкціонований HTTP-трафік, залишаються вразливими. Трафік WebRTC працює через UDP із шифруванням DTLS, а не HTTP, що робить його невидимим для багатьох інструментів моніторингу та перевірки мережі. Як результат, викрадені платіжні дані можуть повністю обійти виявлення.
Наявність патчів та захисні заходи
Компанія Adobe виправила вразливість PolyShell у версії 2.4.9-beta1, випущеній 10 березня 2026 року. Негайне встановлення виправлень є критично важливим для запобігання використанню.
Щоб зменшити вплив та виявити потенційну загрозу, наполегливо рекомендується вжити таких заходів:
Обмежити доступ до каталогу pub/media/custom_options/
Проводьте ретельне сканування на наявність веб-оболок, бекдорів та інших шкідливих артефактів
Стратегічні наслідки для безпеки електронної комерції
Поява скіммінгу на основі WebRTC свідчить про перехід до більш складних методів ухилення від кіберзлочинності на рівні протоколу. Організації, що керують платформами електронної комерції, повинні розширити свої захисні стратегії за межі HTTP-орієнтованого моніторингу та включити глибший аналіз нетрадиційних каналів зв'язку для ефективної протидії загрозам, що розвиваються.
