Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware WebRTC-Skimmer

WebRTC-Skimmer

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben einen hochentwickelten Zahlungsskimmer entdeckt, der WebRTC-Datenkanäle nutzt, um unbemerkt Schadsoftware abzurufen und sensible Daten zu exfiltrieren. Im Gegensatz zu herkömmlichen Skimmern, die auf HTTP-Anfragen oder Bild-Beacons basieren, operiert diese Variante außerhalb der üblichen Web-Traffic-Muster, was die Erkennung erheblich erschwert.

Angriffspunkt für Ausnutzung: Die PolyShell-Schwachstelle

Die Angriffskampagne ließ sich auf die Ausnutzung von PolyShell zurückführen, einer kritischen Sicherheitslücke in Magento Open Source und Adobe Commerce. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige ausführbare Dateien über die REST-API hochzuladen und so letztendlich vollständigen Schadcode auszuführen.

Seit dem 19. März 2026 wird die Sicherheitslücke aktiv und in großem Umfang ausgenutzt. Über 50 IP-Adressen wurden bei Scanvorgängen beobachtet, und Forscher stellten PolyShell-bezogene Kompromittierungen in etwa 56,7 % der anfälligen Online-Shops fest.

Angriffsmechaniken: WebRTC als Tarnkanal

Der Skimmer fungiert als selbstausführendes Skript, das in kompromittierte Webseiten eingebettet ist. Nach der Ausführung initiiert er eine WebRTC-Peer-Verbindung zu einer fest codierten IP-Adresse (202.181.177.177) über UDP-Port 3479. Über diesen Kanal ruft er zusätzlichen schädlichen JavaScript-Code ab, der direkt in die Webseite eingeschleust wird, um Zahlungsdaten zu erfassen.

Zu den wichtigsten Merkmalen dieser Technik gehören:

  • Nutzung von WebRTC-Datenkanälen anstelle der herkömmlichen HTTP-basierten Kommunikation
  • Dynamisches Abrufen und Ausführen von Schadskripten
  • Direkte Einbindung in Webseiten, die Zahlungsinformationen verarbeiten

Sicherheitsumgehung: Traditionelle Verteidigungsmechanismen überwinden

Dieser Ansatz stellt aufgrund seiner Fähigkeit, weit verbreitete Sicherheitskontrollen zu umgehen, einen bemerkenswerten Fortschritt bei Skimming-Techniken dar. Content Security Policy (CSP), die häufig zur Einschränkung unautorisierter ausgehender Verbindungen eingesetzt wird, bietet keinen wirksamen Schutz vor dieser Bedrohung.

Selbst Umgebungen mit strengen CSP-Konfigurationen, die jeglichen unautorisierten HTTP-Verkehr blockieren, bleiben angreifbar. WebRTC-Verkehr läuft über DTLS-verschlüsseltes UDP anstatt über HTTP, wodurch er für viele Netzwerküberwachungs- und -prüfungstools unsichtbar wird. Daher können exfiltrierte Zahlungsdaten vollständig unentdeckt bleiben.

Verfügbarkeit von Patches und Abwehrmaßnahmen

Adobe hat die PolyShell-Sicherheitslücke in Version 2.4.9-beta1, veröffentlicht am 10. März 2026, behoben. Ein sofortiges Patchen ist entscheidend, um eine Ausnutzung zu verhindern.

Um das Risiko einer Gefährdung zu verringern und potenzielle Sicherheitslücken aufzudecken, werden folgende Maßnahmen dringend empfohlen:

Beschränken Sie den Zugriff auf das Verzeichnis pub/media/custom_options/.
Führen Sie gründliche Scans auf Web-Shells, Backdoors und andere schädliche Artefakte durch.

Strategische Implikationen für die E-Commerce-Sicherheit

Das Aufkommen von WebRTC-basiertem Skimming verdeutlicht den Trend hin zu ausgefeilteren, protokollbasierten Umgehungstechniken. Unternehmen, die E-Commerce-Plattformen betreiben, müssen ihre Abwehrstrategien über die HTTP-zentrierte Überwachung hinaus erweitern und eine eingehendere Prüfung nicht-traditioneller Kommunikationskanäle einbeziehen, um den sich wandelnden Bedrohungen wirksam zu begegnen.

Im Trend

UNC4899 Cloud-Kompromittierungskampagne

Erweiterte, anhaltende Bedrohung (APT)
Ein ausgeklügelter Cyberangriff im Jahr 2025 wird dem nordkoreanischen Akteur UNC4899 zugeschrieben, einer Gruppe, die im Verdacht steht, einen groß angelegten Angriff auf eine Kryptowährungsorganisation verübt zu haben, der zum Diebstahl digitaler Vermögenswerte in Millionenhöhe führte. Die Kampagne wird mit mäßiger Sicherheit diesem staatlich geförderten Akteur zugeschrieben, der auch unter...

Am häufigsten gesehen

Wird geladen...