A empresa de segurança Sansec revelou uma técnica inovadora de ataque que está preocupando o setor de e-commerce. Criminosos estão utilizando WebRTC para exfiltrar dados sensíveis diretamente do navegador, contornando mecanismos tradicionais de proteção. Esse novo método de skimming representa uma mudança relevante, pois mostra que o tráfego HTTP não é mais o único caminho explorado por atacantes.
Plataformas amplamente utilizadas como Magento e Adobe Commerce estão entre os principais alvos, especialmente em ambientes desatualizados ou mal configurados. O ataque combina exploração de vulnerabilidades com técnicas modernas de comunicação, elevando o nível de risco para lojas virtuais.
O que é o PolyShell e como ele afeta o Magento
O PolyShell é uma técnica que permite a execução remota de código em sistemas vulneráveis do Magento e do Adobe Commerce. Ele explora falhas na API REST dessas plataformas, permitindo que invasores enviem cargas maliciosas que são processadas como se fossem legítimas.
Uma vez explorado, o invasor pode inserir scripts maliciosos diretamente nas páginas da loja, especialmente no fluxo de checkout. Esses scripts atuam como skimmers digitais, capturando dados inseridos pelos usuários, como número de cartão, nome e código de segurança.
Esse tipo de ataque é particularmente perigoso porque ocorre no lado do cliente, ou seja, no navegador da vítima, tornando-se mais difícil de detectar por soluções tradicionais baseadas apenas no servidor.
Skimming com WebRTC: por que o CSP não consegue bloquear
O uso de WebRTC muda completamente o cenário de defesa. Diferente de requisições HTTP, essa tecnologia permite comunicação direta entre o navegador da vítima e o servidor do atacante.
Os dados são enviados por meio de DataChannels, que operam sobre protocolos como UDP e DTLS. Como resultado, políticas de segurança como CSP (Content Security Policy), que controlam conexões HTTP e HTTPS, não conseguem impedir essa comunicação.
Isso significa que mesmo um ambiente com CSP corretamente configurado pode continuar vulnerável. O tráfego gerado via WebRTC não segue as mesmas regras e muitas vezes não é inspecionado por ferramentas tradicionais de segurança.
Essa abordagem torna o ataque mais discreto e eficiente, dificultando tanto a detecção quanto a mitigação em tempo real.
O papel do endereço IP 202.181.177.177
Durante a investigação, foi identificado o endereço IP 202.181.177.177 como parte da infraestrutura de comando e controle (C2). É para esse destino que os dados capturados são enviados.
O funcionamento do ataque segue um fluxo claro. Primeiro, um script malicioso é inserido na página comprometida. Em seguida, ele estabelece uma conexão silenciosa via WebRTC com o servidor remoto. Assim que o usuário preenche os dados de pagamento, essas informações são capturadas e transmitidas imediatamente.
Como o script é altamente ofuscado e executado automaticamente, sua presença pode passar despercebida mesmo em auditorias técnicas mais detalhadas.
Como proteger sua loja virtual
A mitigação exige uma abordagem mais ampla do que as práticas tradicionais. O primeiro passo é garantir que o Magento ou Adobe Commerce esteja atualizado, especialmente para versões mais recentes como a 2.4.9-beta1 ou superior.
Também é essencial revisar permissões de diretórios e restringir acessos indevidos. Muitas explorações do tipo PolyShell dependem de configurações inseguras para funcionar.
A verificação de integridade de arquivos deve ser realizada com frequência, buscando identificar web shells ou scripts não autorizados. Ferramentas de monitoramento ajudam a detectar alterações suspeitas.
Outro ponto crítico é ampliar a visibilidade do tráfego de rede. Monitorar apenas HTTP não é mais suficiente. É necessário observar também conexões UDP e padrões associados ao uso de WebRTC.
Além disso, implementar mecanismos como Subresource Integrity (SRI) e validação rigorosa de scripts pode reduzir significativamente a superfície de ataque.
Conclusão e o futuro da segurança web
A evolução do skimming digital mostra que atacantes estão cada vez mais criativos ao explorar tecnologias legítimas. O uso de WebRTC para exfiltração de dados evidencia uma lacuna importante nos modelos tradicionais de defesa.
Para empresas que operam no comércio eletrônico, o cenário exige atenção redobrada. Segurança não pode mais se limitar ao controle de requisições HTTP, é necessário adotar uma visão mais ampla, incluindo comportamento de rede e execução no lado do cliente.
A tendência é que ataques desse tipo se tornem mais comuns. Por isso, investir em atualização contínua, monitoramento avançado e boas práticas de desenvolvimento será essencial para reduzir riscos e proteger dados sensíveis.