Die heimliche Evolution von E-Commerce-Skimmern: Wie WebRTC den digitalen Burggraben umgeht

Die schockierende Geschwindigkeit der PolyShell-Exploits

In der Woche nach dem 19. März 2026 wurden erschreckende 56,7 % aller anfälligen Magento- und Adobe Commerce-Shops durch eine einzige Exploit-Kette kompromittiert. Diese Statistik erfordert eine gründliche, analytische Aufschlüsselung der systemischen Mängel, die eine so schnelle und weitreichende Infektion ermöglichten. Wir betrachten hier nicht nur einen standardmäßigen Malware-Ausbruch; wir erleben die Entstehung eines hochentwickelten Angriffsvektors, der legitime Webprotokolle als Waffe einsetzt, um traditionelle Sicherheitsperimeter obsolet zu machen.

Hinter den Kulissen ist der Katalysator für diese digitale Epidemie eine Schwachstelle namens PolyShell. Dieser Fehler betrifft Magento Open Source und Adobe Commerce und bietet nicht authentifizierten Angreifern die Möglichkeit, beliebige ausführbare Dateien über die REST-API hochzuladen. Sobald die Codeausführung erreicht ist, geben sich die Angreifer nicht mit der serverseitigen Kontrolle zufrieden. Sie installieren einen hochspezialisierten Zahlungsskimmer, der einen bedeutenden Sprung in der Tarnkappentechnologie darstellt.

Den Spiegel brechen: Wie WebRTC die CSP umgeht

Seit Jahren verlassen sich Sicherheitsexperten auf die Content Security Policy (CSP) als robusten Schutz gegen Cross-Site Scripting und Datenexfiltration. Konstruktionsbedingt teilt eine gut konfigurierte CSP dem Browser genau mit, welchen Domänen vertraut wird. Wenn ein bösartiges Skript versucht, gestohlene Kreditkartendaten über eine Standard-HTTP-Anfrage an einen nicht autorisierten Server zu senden, blockiert der Browser dies.

Der PolyShell-Skimmer nutzt jedoch einen nuancierten Workaround: WebRTC (Web Real-Time Communication) Datenkanäle. Ursprünglich für Peer-to-Peer-Kommunikation mit geringer Latenz entwickelt – man denke an Videoanrufe oder Dateifreigabe –, ermöglicht WebRTC den Datenfluss direkt zwischen Clients oder zu einem STUN/TURN-Server.

In der Praxis sind viele CSP-Implementierungen nicht feingranular genug, um WebRTC zu berücksichtigen. Während ein Sicherheitsteam connect-src für traditionelle API-Aufrufe streng überwachen mag, schlüpft die dezentrale Natur von WebRTC oft durch das Netz. Der Skimmer nutzt diese Datenkanäle, um seine bösartige Payload zu laden und sensible Zahlungsinformationen zu exfiltrieren. Aus Risikoperspektive macht dies eine legitime Funktion zu einem digitalen Trojanischen Pferd, das es gestohlenen Daten ermöglicht, den Burggraben der traditionellen Netzwerkfilterung zu umgehen.

Die Anatomie eines PolyShell-Angriffs

Die Bewertung der Angriffsfläche offenbart einen mehrstufigen Prozess, der ebenso effizient wie bösartig ist. Der Angriff beginnt mit der Ausnutzung der REST-API, einer geschäftskritischen Komponente des modernen E-Commerce, die oft aus Gründen der Interoperabilität exponiert bleibt. Da die Schwachstelle nicht authentifizierte Uploads zulässt, ist die Eintrittsbarriere gefährlich niedrig.

Sobald der Angreifer Fuß gefasst hat, injiziert er ein Skript in die Checkout-Seite. Interessanterweise verhält sich dieses Skript nicht wie die Skimmer von vor fünf Jahren. Ich erinnere mich an die Untersuchung früherer MageCart-Vorfälle, bei denen die Malware einfach eine GET-Anfrage mit Base64-kodierten Daten in der URL sendete. Das war laut und in den Server-Logs leicht zu entdecken. Im Gegensatz dazu ist der PolyShell-Skimmer nahezu unsichtbar. Durch die Verwendung von WebRTC sieht der Datenverkehr wie ein Standard-Peer-to-Peer-Handshake aus, was die forensische Analyse für Incident Responder, die nur nach verdächtigen HTTP-POST-Anfragen suchen, zu einem Albtraum macht.

Warum Patchen allein kein Allheilmittel ist

Das Patchen wird oft als das Stopfen von Löchern im Rumpf eines Schiffes beschrieben, und obwohl es unerlässlich ist, stellt es allein selten eine umfassende Lösung dar. Ungeachtet der Verfügbarkeit von Korrekturen deutet die Geschwindigkeit des PolyShell-Rollouts – mit über 50 IP-Adressen, die an Massen-Scans beteiligt sind – darauf hin, dass viele Unternehmen Schwierigkeiten haben, mit der Bedrohungslandschaft Schritt zu halten.

Auf architektonischer Ebene liegt das Problem in dem inhärenten Vertrauen, das wir in Skripte von Drittanbietern und integrierte Browserfunktionen setzen. Wenn ein Shop kompromittiert wird, wirkt die Datenpanne wie eine Ölpest; die ökologische und rufschädigende Katastrophe breitet sich weit über den ursprünglichen Aufschlagspunkt hinaus aus. Für den Endbenutzer ist das Erlebnis transparent und scheinbar sicher, doch seine sensibelsten Finanzdaten werden über einen verschlüsselten, dezentralen Kanal direkt in die Hände eines Bedrohungsakteurs geleitet.

Proaktiv handeln: Verteidigungsmaßnahmen

Um eine widerstandsfähigere Verteidigung gegen diese neue Art von Skimmern aufzubauen, müssen Unternehmen über Standardkonfigurationen hinausblicken. Eine proaktive Sicherheitshaltung erfordert einen vielseitigen Ansatz für Datenintegrität und Datenschutz.

1. Audit des REST-API-Zugriffs: Stellen Sie sicher, dass Ihre Magento- oder Adobe Commerce REST-API nicht dem öffentlichen Internet ausgesetzt ist, sofern dies nicht unbedingt erforderlich ist. Implementieren Sie strenge IP-Whitelisting-Verfahren oder robuste Authentifizierungsebenen.
2. CSP-Direktiven stärken: Ihre Content Security Policy muss aktualisiert werden, um WebRTC zu berücksichtigen. Achten Sie insbesondere auf die connect-src-Direktive und ziehen Sie die Verwendung von media-src oder spezifischen WebRTC-bezogenen Einschränkungen in Betracht, falls Ihre Plattform diese unterstützt.
3. Integritätsüberwachung: Nutzen Sie File Integrity Monitoring (FIM), um unbefugte Änderungen an Ihrem E-Commerce-Code zu erkennen. Da der Skimmer in das Frontend injiziert werden muss, sollte jede Änderung an der Checkout-Logik einen sofortigen Alarm auslösen.
4. Verhaltensanalyse: Suchen Sie nach ungewöhnlichem WebRTC-Verkehr, der von Ihren Checkout-Seiten ausgeht. In diesem Rahmen ist jede P2P-Verbindung, die von einer Seite initiiert wird, die nur Zahlungen verarbeiten sollte, ein massives Warnsignal.

Letztendlich dient der PolyShell-Vorfall als Erinnerung daran, dass der Netzwerkperimeter im Zeitalter hochentwickelter Client-Side-Angriffe ein veraltetes Konzept ist. Wir müssen jede Browserfunktion als potenziellen Exfiltrationspfad behandeln.

Handlungsrelevanter nächster Schritt

Wenn Sie Magento Open Source oder Adobe Commerce betreiben, ist Ihre unmittelbare Priorität, Ihren Patch-Level gegen die PolyShell-Schwachstelle zu überprüfen. Sobald die Lücke geschlossen ist, führen Sie ein forensisches Audit Ihrer Checkout-Skripte durch, um sicherzustellen, dass derzeit keine WebRTC-basierten Skimmer aktiv sind. Warten Sie nicht auf eine Benachrichtigung Ihres Zahlungsdienstleisters; die Geschwindigkeit dieses Angriffs deutet darauf hin, dass die Daten bereits im Dark Web verkauft wurden, bis Sie davon hören.

Quellen:

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.