WebRTC 竊取器

惡意軟體年Mezo年

翻譯為：

網路安全研究人員發現了一種利用 WebRTC 資料通道的高級支付竊取器，能夠隱藏地獲取惡意負載並竊取敏感資料。與依賴 HTTP 請求或映像信標的傳統竊取器不同，這種變種的運作方式遊離於常規網路流量模式之外，大大增加了偵測難度。

此次攻擊活動可追溯至對 PolyShell 漏洞的利用，該漏洞嚴重影響 Magento 開源版和 Adobe Commerce 平台。此漏洞允許未經身份驗證的攻擊者透過 REST API 上傳任意可執行文件，最終導致遠端程式碼完全執行。

自2026年3月19日起，該漏洞已被大規模利用。研究人員觀察到超過50個IP位址正在進行掃描操作，並在約56.7%的易受攻擊的線上商店中偵測到與PolyShell相關的入侵。

該竊取器以嵌入受感染網站的自執行腳本形式運作。執行後，它會透過 UDP 連接埠 3479 向一個硬編碼的 IP 位址 (202.181.177.177) 發起 WebRTC 對等連線。透過此通道，它會取得額外的惡意 JavaScript 程式碼，並將其直接注入網頁以竊取支付資料。

該技術的關鍵特點包括：

這種方法代表了竊取技術的一項顯著進步，因為它能夠繞過廣泛部署的安全控制措施。內容安全策略 (CSP) 通常用於限制未經授權的出站連接，但它並不能有效緩解這種威脅。

即使是配置了嚴格 CSP（雲端安全性原則）以阻止所有未經授權的 HTTP 流量的環境，仍然存在安全漏洞。 WebRTC 流量透過 DTLS 加密的 UDP 而非 HTTP 傳輸，這使得許多網路監控和偵測工具無法偵測到它。因此，洩漏的支付資料可以完全繞過偵測。

Adobe 在 2026 年 3 月 10 日發布的 2.4.9-beta1 版本中修正了 PolyShell 漏洞。立即打補丁對於防止漏洞被利用至關重要。

為降低風險並偵測潛在的安全漏洞，強烈建議採取以下措施：

限制對 pub/media/custom_options/ 目錄的訪問
徹底掃描網路外殼、後門和其他惡意程式。

基於 WebRTC 的竊取攻擊的出現，凸顯了攻擊手段正朝著更複雜、協議層面的規避技術轉變。經營電子商務平台的組織必須拓展其防禦策略，超越以 HTTP 為中心的監控，並對非傳統通訊管道進行更深入的檢查，才能有效應對不斷演變的威脅。

搜索