SchwachstellenCyberkriminalitätE-Commerce-Sicherheit

Gefährlicher Payment-Skimmer nutzt WebRTC zur Umgehung von Sicherheitsmaßnahmen

Gefährlicher Payment-Skimmer nutzt WebRTC zur Umgehung von Sicherheitsmaßnahmen
Zusammenfassung

Ein neu entdeckter Payment-Skimmer nutzt WebRTC-Datenkanäle, um Zahlungsinformationen von E-Commerce-Websites zu stehlen und dabei moderne Sicherheitsmechanismen wie Content Security Policy zu umgehen. Die Malware wurde erstmals auf der E-Commerce-Website eines Automobilherstellers identifiziert und nutzt die kritische PolyShell-Sicherheitslücke in Magento und Adobe Commerce, um zunächst in die betroffenen Systeme einzudringen. Seit März 2026 wird diese Schwachstelle massiv ausgenutzt – über 50 IP-Adressen sind an Scanning-Aktivitäten beteiligt und mehr als die Hälfte aller anfälligen Shops wurde bereits angegriffen. Der Angriffsmechanismus ist besonders tückisch: Durch die Verwendung von verschlüsseltem UDP-Traffic statt HTTP entgeht die Datenexfiltration traditionellen Netzwerk-Überwachungssystemen. Für deutsche Unternehmen und Onlinehändler, die Magento oder Adobe Commerce einsetzen, stellt diese Entwicklung eine erhebliche Bedrohung dar. Während Adobe einen Patch bereitgestellt hat, sind viele produktiven Versionen noch nicht aktualisiert. Besonders besorgniserregend ist, dass diese neue Angriffsmethode zeigt, wie Cyberkriminelle traditionelle Schutzmechanismen innovativ umgehen und ihre Techniken kontinuierlich weiterentwickeln.

Die niederländische Sicherheitsfirma Sansec hat die technischen Details des Angriffs analysiert und publiziert. Das Besondere an diesem Payment-Skimmer ist seine Verwendung von WebRTC-Datenkanälen statt konventioneller HTTP-Anfragen. Das Malware-Skript verbindet sich mit einer hartcodierten IP-Adresse (202.181.177[.]177) über UDP-Port 3479 und lädt JavaScriptCode nach, der anschließend in die Webseite injiziert wird, um Zahlungsinformationen zu extrahieren.

Die PolyShell-Lücke als Einfallstor

Die Anfälligkeit namens PolyShell betroffene Magento Open Source und Adobe Commerce. Sie ermöglicht es unauthentifizierten Angreifern, beliebige ausführbare Dateien über die REST-API hochzuladen und damit Code auszuführen. Seit dem 19. März 2026 wird diese Schwachstelle massenhaft ausgenutzt – mehr als 50 IP-Adressen sind an Scanning-Aktivitäten beteiligt. Besonders alarmierend: 56,7 Prozent aller verwundbaren Shops wurden bereits kompromittiert.

Warum WebRTC so gefährlich ist

Die Verwendung von WebRTC stellt eine erhebliche Eskalation dar. Content Security Policy (CSP) – eine wichtige Sicherheitsrichtlinie moderner Webseiten – blockiert normalerweise unauthorisierte HTTP-Verbindungen. WebRTC-Datenkanäle laufen jedoch über DTLS-verschlüsselte UDP-Verbindungen, nicht über HTTP. Standard-Netzwerk-Sicherheitstools, die HTTP-Traffic analysieren, können den Datenabfluss somit nicht erkennen. Ein Online-Shop mit strikter CSP ist daher völlig ungeschützt gegen diese Art von Angriffen.

Langsame Patch-Verbreitung

Adobe hat einen Patch in Version 2.4.9-beta1 vom 10. März 2026 freigegeben. Allerdings hat dieser Patch noch nicht die Produktionsversionen erreicht, was das Zeitfenster für Angreifer verlängert. Deutsche E-Commerce-Betreiber sollten daher dringend handeln.

Empfohlene Schutzmaßnahmen

Sicherheitsexperten raten Shopbetreibern, den Zugriff auf das Verzeichnis „pub/media/custom_options/” zu blockieren und ihre Systeme gezielt nach Webshells, Backdoors und anderer Malware zu scannen. Eine regelmäßige Überwachung der Zugriffsprotokolle ist ebenfalls essentiell.

Ähnliche Artikel