WebRTC 窃取器

通过Mezo在恶意软件

翻译为：

网络安全研究人员发现了一种利用 WebRTC 数据通道的高级支付窃取器，该窃取器能够隐蔽地获取恶意载荷并窃取敏感数据。与依赖 HTTP 请求或图像信标的传统窃取器不同，这种变种的运行方式游离于常规网络流量模式之外，大大增加了检测难度。

此次攻击活动可追溯至对 PolyShell 漏洞的利用，该漏洞严重影响 Magento 开源版和 Adobe Commerce 平台。此漏洞允许未经身份验证的攻击者通过 REST API 上传任意可执行文件，最终导致远程代码完全执行。

自2026年3月19日起，该漏洞已被大规模利用。研究人员观察到超过50个IP地址正在进行扫描操作，并在约56.7%的易受攻击的在线商店中检测到与PolyShell相关的入侵。

该窃取器以嵌入受感染网站的自执行脚本形式运行。执行后，它会通过 UDP 端口 3479 向一个硬编码的 IP 地址 (202.181.177.177) 发起 WebRTC 对等连接。通过此通道，它会获取额外的恶意 JavaScript 代码，并将其直接注入网页以窃取支付数据。

该技术的关键特征包括：

这种方法代表了窃取技术的一项显著进步，因为它能够绕过广泛部署的安全控制措施。内容安全策略 (CSP) 通常用于限制未经授权的出站连接，但它并不能有效缓解这种威胁。

即使是配置了严格 CSP（云安全策略）以阻止所有未经授权的 HTTP 流量的环境，仍然存在安全漏洞。WebRTC 流量通过 DTLS 加密的 UDP 而非 HTTP 传输，这使得许多网络监控和检测工具无法检测到它。因此，泄露的支付数据可以完全绕过检测。

Adobe 在 2026 年 3 月 10 日发布的 2.4.9-beta1 版本中修复了 PolyShell 漏洞。立即打补丁对于防止漏洞被利用至关重要。

为降低风险并及早发现潜在风险，强烈建议采取以下措施：

限制对 pub/media/custom_options/ 目录的访问
对网络外壳、后门和其他恶意程序进行彻底扫描。

基于 WebRTC 的窃取攻击的出现，凸显了攻击手段正朝着更复杂、协议层面的规避技术转变。运营电子商务平台的组织必须拓展其防御策略，超越以 HTTP 为中心的监控，并对非传统通信渠道进行更深入的检查，才能有效应对不断演变的威胁。

搜索