Der von Sansec in einem Bericht dieser Woche beschriebene Skimmer markiert eine Weiterentwicklung dieser Angriffsklasse. Während herkömmliche Varianten gestohlene Daten über HTTP-Anfragen oder Bild-Beacons ausleiten, nutzt die neue Malware WebRTC-Datenkanäle – sowohl um ihre Schadroutine nachzuladen als auch um die erbeuteten Zahlungsdaten abzuführen.

Technisch handelt es sich um ein selbstausführendes Skript, das eine WebRTC-Peer-Verbindung zu einer fest einprogrammierten IP-Adresse (“202.181.177[.]177”) über den UDP-Port 3479 aufbaut. Darüber wird JavaScript-Code abgerufen und in die Webseite eingeschleust, um Zahlungsinformationen abzugreifen.

Der Einsatz von WebRTC ist deshalb bedeutsam, weil er die Vorgaben der Content Security Policy umgeht. “Ein Shop mit einer strikten CSP, die alle nicht autorisierten HTTP-Verbindungen blockiert, ist für eine WebRTC-basierte Datenausleitung weiterhin völlig offen”, erklärte Sansec. Auch der Datenverkehr selbst sei schwerer zu erkennen: WebRTC-Datenkanäle laufen über DTLS-verschlüsseltes UDP statt über HTTP. Sicherheitswerkzeuge, die ausschließlich HTTP-Verkehr inspizieren, sehen den Abfluss der gestohlenen Daten demnach nie.

Ermöglicht wurde der dokumentierte Angriff auf die Website eines Automobilherstellers durch PolyShell, eine neue Schwachstelle in Magento Open Source und Adobe Commerce. Sie erlaubt es nicht authentifizierten Angreifern, über die REST-API beliebige ausführbare Dateien hochzuladen und damit Code auszuführen.

Seit dem 19. März 2026 wird die Lücke massenhaft ausgenutzt. Nach Angaben von Sansec beteiligen sich mehr als 50 IP-Adressen an den Scan-Aktivitäten; auf 56,7 Prozent aller verwundbaren Shops stellte das niederländische Unternehmen PolyShell-Angriffe fest.

Adobe hat einen Fix für PolyShell mit der am 10. März 2026 veröffentlichten Version 2.4.9-beta1 bereitgestellt. Der Patch hat die Produktionsversionen jedoch noch nicht erreicht.

Als Gegenmaßnahmen empfiehlt Sansec Betreibern, den Zugriff auf das Verzeichnis “pub/media/custom_options/” zu sperren und ihre Shops auf Web-Shells, Backdoors und andere Schadsoftware zu untersuchen.