Skimmer WebRTC bypassa CSP e-commerce

Attenzione, proprietari di e-commerce: un nuovo malware sta colpendo i siti basati su Magento, rubando dati di pagamento in modo invisibile. Questo skimmer sfrutta WebRTC, una tecnologia pensata per videochiamate, per bypassare le difese standard come la Content Security Policy (CSP). La soluzione rapida? Blocca immediatamente l’accesso alla directory pub/media/custom_options/ e scansiona il tuo sito per malware. In questo modo, previeni l’upload di script malevoli e proteggi i clienti.

La minaccia è attiva dal 19 marzo 2026 e ha già colpito oltre il 56,7% dei negozi vulnerabili. Non aspettare: agisci oggi per evitare perdite finanziarie e danni alla reputazione. Ora entriamo nei dettagli per capire come funziona e come difenderti.

Come opera questo attacco

Il malware entra nei siti tramite una vulnerabilità chiamata PolyShell, che colpisce Magento Open Source e Adobe Commerce. Questa falla permette ad attaccanti non autenticati di caricare file eseguibili tramite la REST API, ottenendo l’esecuzione di codice remoto. Una volta dentro, lo skimmer si attiva come uno script auto-eseguibile.

Invece di usare richieste HTTP classiche, stabilisce una connessione peer-to-peer con un indirizzo IP fisso (202.181.177.177) sulla porta UDP 3479. Qui scarica codice JavaScript che inietta nella pagina per catturare informazioni di pagamento durante il checkout.

Perché è così pericoloso? WebRTC usa canali dati cifrati con DTLS su UDP, rendendo il traffico invisibile a molti tool di sicurezza che monitorano solo HTTP. Anche siti con CSP rigide sono esposti, poiché WebRTC non è bloccato da queste policy.

Impatto reale

Dal 19 marzo 2026, oltre 50 indirizzi IP hanno scandagliato i siti vulnerabili. La maggior parte dei negozi colpiti ha subito l’installazione di web shell o backdoor. Se gestisci un e-commerce, verifica subito se il tuo server è sotto attacco.

Azioni immediate per la sicurezza:

Blocca l’accesso alla directory pub/media/custom_options/ sul web server.
Esegui scansioni regolari per web shell e malware.
Aggiorna a versioni patchate di Magento, come la 2.4.9-beta1 di Adobe (nota: non ancora in produzione).
Monitora il traffico UDP sulla porta 3479.

Queste misure riducono drasticamente il rischio. Ricorda: la prevenzione è più economica della remediation post-attacco.

Evoluzione delle minacce skimmer

I payment skimmer tradizionali usano beacon immagine o richieste HTTP per esfiltrare dati, ma sono facilmente rilevabili. Questo nuovo approccio con WebRTC rappresenta un’evoluzione: sfrutta una tecnologia legittima per scopi malevoli, rendendo l’attacco stealth.

WebRTC, acronimo di Web Real-Time Communication, è nato per comunicazioni peer-to-peer come videochiamate senza plugin. Supportato da browser come Chrome, Firefox e Safari, permette scambi rapidi di audio, video e dati generici. Purtroppo, i cybercriminali lo deturnano per caricare payload e inviare dati rubati senza passare per server centrali.

Nei siti e-commerce, lo skimmer si nasconde nel flusso di pagamento, catturando numeri di carta, CVV e indirizzi. Il danno? Perdite dirette, chargeback e sanzioni GDPR.

Consigli per rafforzare la sicurezza

Per proteggere il tuo store:

Implementa una CSP il più restrittiva possibile, ma integra controlli su WebRTC.
Usa firewall applicativi (WAF) che ispezionano traffico UDP.
Adotta monitoraggio continuo con tool SIEM.
Forma il team su minacce emergenti come questa.

Se non hai risorse interne, considera servizi gestiti di cybersecurity specializzati in e-commerce.

Approfondimento tecnico

Questa sezione è per sviluppatori, amministratori sys e security expert che vogliono comprendere i meccanismi sotto il cofano.

Dettagli su PolyShell

La vulnerabilità PolyShell sfrutta il meccanismo di upload file per custom options in Magento. La REST API gestisce questi upload senza validazioni adeguate, permettendo Remote Code Execution (RCE) o Stored XSS. Se il web server è configurato male (es. permessi su /pub/media/), un attaccante carica un file PHP malizioso che viene eseguito in contesto privilegiato.

Catene di exploit tipiche:

Scansione di endpoint REST API esposti.
Upload di payload via POST su /rest/V1/products/{id}/custom-options.
Esecuzione del webshell caricato.

Adobe ha rilasciato una patch beta il 10 marzo 2026, ma la diffusione è lenta. Verifica la tua versione con bin/magento --version.

Funzionamento del WebRTC skimmer

Lo script iniziale è un loader JavaScript minimale:

// Esempio concettuale del loader (non eseguibile)
const pc = new RTCPeerConnection();
const dc = pc.createDataChannel('skimmer');
dc.onopen = () => { /* richiedi payload */ };
// Connessione a STUN/TURN su 202.181.177.177:3479

Crea una RTCPeerConnection senza signaling tradizionale, usando SDP forgiati.
Stabilisce DataChannel su UDP/DTLS, cifrato.
Riceve secondo stadio JS, che hooka form di pagamento.
Esfiltrazione: dati serializzati e inviati via DataChannel, bypassando CSP (riusa nonce validi o fallback).

Perché CSP fallisce? CSP regola script e fetch HTTP/WS, ma DataChannels WebRTC sono fuori scope. Soluzione: estensioni browser o policy no-WebRTC.

Mitigazioni avanzate

Server-side:
- RewriteRule ^pub/media/custom_options/ - [F,L] in .htaccess.
- Disabilita REST API non usate: bin/magento module:disable Magento_Webapi.
Client-side:
- Inietta Object.defineProperty(navigator, 'webkitRTCPeerConnection', {value: undefined});.
Rilevamento: Cerca connessioni UDP 3479 o domini STUN sospetti nei log.

Contesto WebRTC

WebRTC usa ICE per NAT traversal, DTLS per crittografia e SCTP sui DataChannels. Latenza bassa (<100ms), ideale per P2P ma rischiosa se abusata. Per test: visita appr.tc.

In ambito security, monitora abusi: leak IP via WebRTC (usa estensioni VPN) o esfiltrazione dati.