WebRTC Skimmer
Các nhà nghiên cứu an ninh mạng đã xác định được một phần mềm đánh cắp thông tin thanh toán tiên tiến sử dụng các kênh dữ liệu WebRTC để bí mật thu thập các phần mềm độc hại và đánh cắp dữ liệu nhạy cảm. Không giống như các phần mềm đánh cắp thông tin truyền thống dựa vào các yêu cầu HTTP hoặc tín hiệu hình ảnh, biến thể này hoạt động bên ngoài các mô hình lưu lượng truy cập web thông thường, làm phức tạp đáng kể các nỗ lực phát hiện.
Mục lục
Điểm xâm nhập khai thác: Lỗ hổng PolyShell
Chiến dịch tấn công được truy vết bắt nguồn từ việc khai thác lỗ hổng PolyShell, một lỗ hổng nghiêm trọng ảnh hưởng đến nền tảng Magento Open Source và Adobe Commerce. Lỗ hổng này cho phép kẻ tấn công không cần xác thực tải lên các tệp thực thi tùy ý thông qua API REST, cuối cùng dẫn đến việc thực thi mã từ xa hoàn toàn.
Kể từ ngày 19 tháng 3 năm 2026, lỗ hổng này đã bị khai thác trên quy mô lớn. Hơn 50 địa chỉ IP đã được quan sát thấy đang thực hiện các hoạt động quét, và các nhà nghiên cứu đã phát hiện ra các vụ xâm nhập liên quan đến PolyShell tại khoảng 56,7% các cửa hàng trực tuyến dễ bị tổn thương.
Cơ chế tấn công: WebRTC như một kênh ẩn danh
Phần mềm đánh cắp thông tin hoạt động như một kịch bản tự thực thi được nhúng trong các trang web bị xâm nhập. Sau khi thực thi, nó thiết lập kết nối ngang hàng WebRTC đến một địa chỉ IP được mã hóa cứng (202.181.177.177) thông qua cổng UDP 3479. Thông qua kênh này, nó thu thập thêm mã JavaScript độc hại, được chèn trực tiếp vào trang web để thu thập dữ liệu thanh toán.
Các đặc điểm chính của kỹ thuật này bao gồm:
- Sử dụng WebRTC DataChannels thay vì giao tiếp dựa trên HTTP truyền thống.
- Tải xuống và thực thi động các tập lệnh độc hại
- Chèn trực tiếp thông tin thanh toán vào các trang web xử lý thông tin thanh toán.
Lảng tránh an ninh: Vượt qua các biện pháp phòng thủ truyền thống
Phương pháp này thể hiện một bước tiến đáng kể trong các kỹ thuật đánh cắp thông tin nhờ khả năng né tránh các biện pháp kiểm soát an ninh được triển khai rộng rãi. Chính sách bảo mật nội dung (CSP), thường được sử dụng để hạn chế các kết nối ra ngoài trái phép, không hiệu quả trong việc ngăn chặn mối đe dọa này.
Ngay cả những môi trường có cấu hình CSP nghiêm ngặt chặn mọi lưu lượng HTTP trái phép vẫn dễ bị tổn thương. Lưu lượng WebRTC hoạt động trên giao thức UDP được mã hóa DTLS thay vì HTTP, khiến nó không thể bị phát hiện bởi nhiều công cụ giám sát và kiểm tra mạng. Do đó, dữ liệu thanh toán bị đánh cắp có thể hoàn toàn không bị phát hiện.
Tính khả dụng của bản vá lỗi và các biện pháp phòng vệ
Adobe đã khắc phục lỗ hổng PolyShell trong phiên bản 2.4.9-beta1, phát hành ngày 10 tháng 3 năm 2026. Việc vá lỗi ngay lập tức là rất quan trọng để ngăn chặn việc khai thác lỗ hổng này.
Để giảm thiểu rủi ro và phát hiện các nguy cơ xâm phạm, các biện pháp sau đây được khuyến nghị mạnh mẽ:
Hạn chế quyền truy cập vào thư mục pub/media/custom_options/
Tiến hành quét kỹ lưỡng để tìm kiếm web shell, backdoor và các phần mềm độc hại khác.
Ý nghĩa chiến lược đối với an ninh thương mại điện tử
Sự xuất hiện của các kỹ thuật đánh cắp thông tin dựa trên WebRTC cho thấy xu hướng chuyển dịch sang các kỹ thuật né tránh tinh vi hơn, ở cấp độ giao thức. Các tổ chức vận hành nền tảng thương mại điện tử cần mở rộng chiến lược phòng thủ của mình vượt ra ngoài việc giám sát tập trung vào HTTP và kết hợp kiểm tra sâu hơn các kênh liên lạc phi truyền thống để chống lại các mối đe dọa đang phát triển một cách hiệu quả.
