駭客的「無聲」劫財術！新型WebRTC側錄攻擊現身 繞過CSP防護重創大型電商與跨國車廠

當我們以為電商網站的結帳頁面已經受到嚴密保護時，駭客 的攻擊手法卻已經跨入了另一個通訊協定。資安防護公司Sansec近日發出警告，指出一種新型態的金融卡側錄 (Web Skimming)攻擊正在全球蔓延。與過往常見的惡意腳本不同，這次攻擊者首度利用了P2P的WebRTC (Web Real-Time Communication)通訊機制來側錄信用卡資料，成功繞過現有的網路監控工具與內容安全政策 (CSP)，過去兩個月內已有5家市值數十億美元的跨國巨頭受害，其中甚至包含美國前三大銀行與市值破千億美元的汽車製造商。

為什麼是 WebRTC？繞過CSP與HTTP監控的完美隱身衣

過往的Magecart線上側錄或卡片側錄攻擊，多半是透過植入惡意JavaScript，再將竊取到的資料透過HTTP請求傳回駭客的C2伺服器。而隨著企業廣泛部署內容安全政策 (CSP)與各類Web應用防火牆 (WAF)，這種手法的成功率正在下降。

但Sansec研究人員發現，這次駭客極度聰明地改用WebRTC DataChannel：

• 非傳統流量：WebRTC採用經過DTLS加密處理的UDP通訊，而非傳統的HTTP連線。由於多數企業的網路資安工具僅針對HTTP流量進行深度封包檢測，這使得WebRTC流量宛如穿上一層隱身衣。

• CSP的法外之地：WebRTC是一種配對連線機制，其運作方式目前仍遊走在主流CSP規範的邊緣。儘管Chrome瀏覽器已開始測試支援特定CSP指令來管控WebRTC，但由於缺乏業界標準化，目前幾乎沒有網站實際佈署，導致駭客能輕易繞過防線。

結合PolyShell漏洞：從入侵到竊資的隱蔽套路

這波精密的攻擊並非無跡可尋。Sansec指出，駭客入侵電商網站的破口，極有可能是近期大肆肆虐的PolyShell漏洞。該漏洞已經導致近六成的Adobe Commerce與Magento電商平台被上傳惡意的PHP程式碼。

在實際的攻擊執行階段，駭客展現了極高的隱蔽技巧：

• 輕量化載入：初始階段僅植入極為輕量的JavaScript載入器，並且透過重用現有的script nonce或利用unsafe-eval來突破基礎的CSP限制。

• 延遲執行 (requestIdleCallback)：為了降低被行為偵測機制抓包的機率，惡意程式 會刻意利用瀏覽器的延遲執行機制，在系統資源空閒時才偷偷啟動。

• 無聲竊資：一旦WebRTC連線建立，並且接收到第二階段的惡意酬載後，程式便會潛伏在結帳頁面，攔截用戶輸入的信用卡號、到期日與安全碼，直接打包、透過UDP通訊直送駭客伺服器。

分析觀點

這次Sansec揭露的新型WebRTC側錄攻擊，象徵Web Skimming線上側錄攻擊手法的一次重大「技術升級」。

過去在防禦電商側錄攻擊時，防護邏輯往往是透過CSP「防堵未經授權的外部網域連線」，以及「監控異常的HTTP傳輸」。但駭客這次直接從底層通訊協定，利用原本設計用來做視訊通話、P2P檔案傳輸的WebRTC技術，把惡意資料夾帶在加密的UDP封包中送走。這就像是當防護機制還在臨檢一般公路 (HTTP)時，惡意程式已經開著直升機 (WebRTC)揚長而去。

這對企業的IT與資安團隊是一個嚴峻的警訊。特別是對於使用Adobe Commerce與Magento的電商平台而言，除了必須盡速修補PolyShell相關漏洞外，也必須重新審視自身的網路防護機制是否具備解析非HTTP流量的能力。隨著千億美元級別的車廠與頂尖銀行相繼淪陷，顯示這已非針對中小型電商的無差別網釣，而是針對高價值目標的精密針對性攻擊。

《原文刊登於合作媒體mashdigi，聯合新聞網獲授權轉載。》