新型WebRTC刷卡側錄程式現身，繞過CSP等防護機制

Sansec揭露新型態的金融卡側錄惡意程式（skimmer）活動，與過往側錄活動最大的不同在於，攻擊者運用點對點通訊機制Web Real-Time Communication（WebRTC）來外洩資料，目的就是要繞過傳統以HTTP為基礎的資安防護機制。Sansec指出，這是他們首度看到有人濫用WebRTC的情況。

此側錄工具透過WebRTC DataChannel與C2伺服器建立連線，並利用DTLS加密的UDP通訊傳輸竊取資料，使流量難以被既有監控工具與內容安全政策（CSP）攔截。值得留意的是，研究人員在近兩個月內，於5家市值數十億美元的企業看到此種卡片側錄工具，其中一家是美國前3大銀行，最新的受害企業是市值超過1千億美元的汽車製造商，Sansec向該製造商進行通報，不過未收到回覆。

雖然這波攻擊的焦點，主要還是在於濫用WebRTC，不過Sansec指出，駭客入侵電商網站的手法，很有可能就是近期出現大規模活動的漏洞PolyShell。

針對攻擊發生的過程，駭客初始使用輕量化JavaScript載入器，建立WebRTC連線並接收第二階段惡意酬載。該過程可透過重用既有script nonce或利用unsafe-eval等方式繞過CSP限制，進一步提升隱蔽性。

再者，惡意程式會刻意延遲執行，例如透過requestIdleCallback機制，降低被偵測機率。成功執行後，攻擊者即可攔截用戶在結帳頁面輸入的信用卡資訊，然後傳送至遠端伺服器。

為何WebRTC能繞過一般企業組織的電商網站防護？Sansec指出，原因在於WebRTC是一種配對連線機制，運作的方式已在CSP規範的範圍之外，儘管Chrome已導入特定CSP指令支援進行測試，然而由於CSP並未標準化，目前幾乎沒有網站部署，因此利用WebRTC就能對大部分電商網站進行繞過。

再者，WebRTC DataChannels並非採用常見的HTTP連線，而是透過經DTLS加密處理的UDP通訊，由於一般的網路資安工具僅檢查HTTP流量，難以掌握利用這類通訊外洩資料的情形。