Специалисты по безопасности столкнулись с качественно новой угрозой для онлайн-торговли. Исследователи компании Sansec обнаружили ранее неизвестный тип вредоносного кода, предназначенного для кражи данных платёжных карт. Его принципиальное отличие от классических скиммеров заключается в использовании технологии WebRTC для скрытной загрузки и передачи похищенной информации, что позволяет обходить большинство современных защитных механизмов. Инциденты с использованием этой методики фиксировались на протяжении марта 2026 года, а целью атак становились сайты, работающие на популярных платформах Magento и Adobe Commerce.
Описание
Угроза демонстрирует эволюцию тактик киберпреступников, которые переходят от прямых атак на защищённые транзакции к эксплуатации фундаментальных функций современных веб-браузеров. Технология WebRTC (Web Real-Time Communication), изначально разработанная для организации видеозвонков и P2P-соединений непосредственно в браузере, оказалась идеальным каналом для скрытного мошенничества. В отличие от традиционных веб-запросов, которые отслеживаются системами защиты, соединения WebRTC используют зашифрованные каналы передачи данных, невидимые для стандартных инструментов мониторинга.
Ключевая опасность новой схемы заключается в её способности обходить политику безопасности контента (CSP, Content Security Policy) - основной механизм защиты от внедрения сторонних скриптов. Как правило, CSP строго регламентирует, с каких доменов браузер имеет право загружать и исполнять код. Однако соединения WebRTC, согласно данным исследователей, не подпадают под эти правила. Поскольку специфические ограничения для WebRTC на сайтах электронной коммерции реализуются крайне редко, подавляющее большинство интернет-магазинов оказываются уязвимыми перед такой атакой даже при наличии формально настроенной и строгой CSP.
Ещё один уровень скрытности обеспечивается самим протоколом передачи данных. WebRTC DataChannels работают поверх DTLS-шифрования по протоколу UDP, а не по привычному HTTP/S. Это означает, что похищенные данные платежных карт покидают инфраструктуру жертвы в виде зашифрованного трафика, который не анализируется классическими сетевыми системами обнаружения вторжений или веб-брандмауэрами, сфокусированными на инспекции HTTP-потоков. Таким образом, утечка становится практически незаметной для традиционных средств безопасности.
Для первоначального внедрения на сайт злоумышленники использовали известную уязвимость, получившую название PolyShell, в системах Magento и Adobe Commerce. Эта уязвимость позволяет неавторизованному пользователю загружать файлы и выполнять произвольный код. Согласно отчёту, активная эксплуатация этой проблемы безопасности началась 19 марта 2026 года, и на данный момент сканирование уязвимых магазинов ведётся более чем с 50 IP-адресов. Эксперты полагают, что уже пострадало более половины всех незакрытых систем.
Сам скиммерный скрипт также демонстрирует высокий уровень изощрённости. Для инъекции в страницу он в первую очередь пытается украсть валидный одноразовый код (nonce) из уже загруженных легитимных скриптов магазина. Это позволяет ему легально исполниться в рамках строгой политики CSP. Если кража nonce не удаётся, вредонос использует запасные методы исполнения кода. Кроме того, полезная нагрузка активируется только в периоды бездействия пользователя, когда браузер простаивает, что дополнительно снижает риск случайного обнаружения аномалий.
Последствия успешной атаки очевидны: массовая компрометация данных платёжных карт клиентов, что ведёт к прямым финансовым потерям, судебным искам и необратимому ущербу для репутации бренда. Для специалистов по информационной безопасности инцидент служит тревожным сигналом о необходимости пересмотра классических моделей угроз. Защита, построенная исключительно вокруг мониторинга HTTP-трафика и применения CSP, более не является достаточной.
В свете активной эксплуатации эксперты рекомендуют владельцам интернет-магазинов на Magento и Adobe Commerce в первую очередь немедленно установить все доступные обновления безопасности для устранения уязвимости PolyShell. На уровне сетевой безопасности следует рассмотреть возможность ограничения использования WebRTC, включая блокировку неожиданного исходящего UDP-трафика, который может быть признаком работы такого скиммера. Также необходимо расширить возможности сетевого мониторинга для анализа паттернов зашифрованного трафика DTLS. На уровне приложений критически важно провести аудит обработки CSP nonce для предотвращения их хищения, а также внедрить системы контроля целостности файлов на сервере для оперативного обнаружения несанкционированных изменений в скриптах. Этот случай наглядно показывает, что киберпреступники постоянно ищут и находят новые лазейки в технологическом стеке, что требует от защитников аналогичной гибкости и глубины анализа защищаемой среды.
Индикаторы компрометации
IPv4
- 202.181.177.177
ICE credentials (hardcoded in SDP)
- 05l0TstonL9bYAdB04I6x2
- JxCvVg2YnHDqAcpPS8mkqC
DTLS fingerprint
- 9E:BB:2A:E2:C5:B8:DC:0A:8B:A7:85:E1:9F:C4:F8:A8:09:2A:F4:1E:70:30:1B:AF:9F:26:97:BE:E2:6E:E3:1D
