Investigadores de ciberseguridad han descubierto un nuevo skimmer de pagos que utiliza canales de datos WebRTC como medio para recibir cargas útiles y filtrar datos, evitando efectivamente los controles de seguridad.
«En lugar de las habituales solicitudes HTTP o balizas de imágenes, este malware utiliza canales de datos WebRTC para cargar su carga útil y filtrar datos de pago robados», dijo Sansec en un informe publicado esta semana.
Se dice que el ataque, que tuvo como objetivo el sitio web de comercio electrónico de un fabricante de automóviles, fue facilitado por PolyShell, una nueva vulnerabilidad que afecta a Magento Open Source y Adobe Commerce y que permite a atacantes no autenticados cargar ejecutables arbitrarios a través de la API REST y lograr la ejecución de código.
En particular, desde entonces la vulnerabilidad ha sido objeto de explotación masiva desde el 19 de marzo de 2026, con más de 50 direcciones IP participando en la actividad de escaneo. La empresa de seguridad holandesa dijo que encontró ataques PolyShell en el 56,7% de todas las tiendas vulnerables.
El skimmer está diseñado como un script autoejecutable que establece una conexión entre pares WebRTC a una dirección IP codificada («202.181.177(.)177») a través del puerto UDP 3479 y recupera código JavaScript que posteriormente se inyecta en la página web para robar información de pago.
El uso de WebRTC marca una evolución significativa en los ataques skimmer, ya que elude las directivas de la Política de seguridad de contenido (CSP).
«Una tienda con un CSP estricto que bloquea todas las conexiones HTTP no autorizadas todavía está abierta a la exfiltración basada en WebRTC», señaló Sansec. «El tráfico en sí también es más difícil de detectar. Los WebRTC DataChannels se ejecutan sobre UDP cifrado con DTLS, no sobre HTTP. Las herramientas de seguridad de red que inspeccionan el tráfico HTTP nunca verán salir los datos robados».
Adobe lanzó una solución para PolyShell en la versión 2.4.9-beta1 lanzada el 10 de marzo de 2026. Pero el parche aún no ha llegado a las versiones de producción.
Como mitigación, se recomienda a los propietarios de sitios bloquear el acceso al directorio «pub/media/custom_options/» y escanear las tiendas en busca de shells web, puertas traseras y otro malware.
