The 2025 holiday season chứng kiến một làn sóng mối đe dọa mạng chưa từng có, khi các tác nhân tấn công triển khai hạ tầng công nghiệp hóa để khai thác sự gia tăng toàn cầu của thương mại điện tử. Cảnh quan mối đe dọa mạng năm nay được đặc trưng bởi sự mở rộng có tính toán của các tài sản kỹ thuật số lừa đảo. Tội phạm mạng tận dụng các công cụ tự động để mở rộng quy mô hoạt động trên nhiều danh mục người bán, tạo ra một mối đe dọa mạng nghiêm trọng đối với người tiêu dùng và doanh nghiệp.

Hạ tầng Tấn công Công nghiệp hóa và Kỹ thuật SEO Poisoning

Phương thức tấn công chính cho các chiến dịch này bao gồm việc tạo hàng loạt các trang web giả mạo, được thiết kế để bắt chước các nhà bán lẻ hợp pháp và thu thập dữ liệu nhạy cảm của người tiêu dùng trong các thời kỳ mua sắm cao điểm. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng nhằm lừa đảo.

Một trong những chỉ số quan trọng nhất của đợt tấn công trước kỳ nghỉ lễ này là việc đăng ký hơn 18.000 tên miền chủ đề kỳ nghỉ chỉ trong ba tháng qua. Các tên miền này nhắm mục tiêu vào các từ khóa có lưu lượng truy cập cao như “Christmas,” “Black Friday,” và “Flash Sale,” đóng vai trò là xương sống cho các kế hoạch lừa đảo (phishing) và các cửa hàng trực tuyến gian lận.

Nhiều trang web trong số này bắt chước các thương hiệu nổi tiếng với những biến thể URL nhỏ, khiến chúng gần như không thể phân biệt được đối với những người mua sắm vội vàng. Trong khi một phần của các tên miền này vẫn không hoạt động để tránh bị phát hiện sớm, hàng trăm tên miền đã được vũ khí hóa để lưu trữ các vụ lừa đảo thẻ quà tặng và các trang thu thập thông tin thanh toán.

Các nhà phân tích bảo mật của Fortinet đã xác định mạng lưới rộng lớn này của hạ tầng độc hại, lưu ý rằng quy mô của chiến dịch tạo điều kiện cho việc SEO poisoning hiệu quả. Bằng cách tăng cường nhân tạo thứ hạng tìm kiếm của các URL độc hại này, kẻ tấn công đảm bảo các trang web gian lận của chúng xuất hiện cùng với các kết quả hợp pháp trong thời gian lưu lượng truy cập cao điểm, làm tăng đáng kể mối đe dọa mạng đối với người dùng.

Gia tăng Đánh cắp Thông tin Đăng nhập và Nguy cơ Chiếm đoạt Tài khoản

Các nhà nghiên cứu cũng nhấn mạnh sự gia tăng đáng báo động trong việc đánh cắp dữ liệu thông tin đăng nhập, với hơn 1,57 triệu tài khoản đăng nhập từ các trang thương mại điện tử lớn hiện đang lưu hành trên các thị trường ngầm. Những “stealer logs” này chứa mật khẩu, cookie và session token được lưu trữ trong trình duyệt, cho phép chiếm đoạt tài khoản nhanh chóng, bỏ qua các cơ chế phòng thủ đăng nhập truyền thống.

Việc chiếm đoạt tài khoản dựa trên stealer logs là một mối đe dọa mạng nghiêm trọng, cho phép kẻ tấn công truy cập vào các tài khoản người dùng mà không cần mật khẩu gốc. Điều này làm tăng rủi ro về rò rỉ dữ liệu nhạy cảm và các giao dịch gian lận. Các tổ chức cần nhận thức sâu sắc về mối đe dọa mạng này để bảo vệ người dùng của mình.

Phân tích Sâu về Các Lỗ Hổng CVE Nghiêm Trọng Đang Bị Khai Thác

Sự tinh vi của các cuộc tấn công mạng này được thể hiện rõ nhất trong việc khai thác có mục tiêu các lỗ hổng CVE nghiêm trọng trong các nền tảng thương mại điện tử. Kẻ tấn công đang tích cực lợi dụng hai lỗ hổng chính để thực hiện các cuộc tấn công phức tạp, tạo ra một mối đe dọa mạng đáng kể cho hệ thống.

Khai thác Remote Code Execution (RCE) trong Adobe Magento

Kẻ tấn công đang tận dụng CVE-2025-54236, một lỗ hổng nghiêm trọng trong Adobe Magento do lỗi xác thực đầu vào không đúng cách. Lỗ hổng này cho phép các tác nhân đe dọa thực hiện một cuộc tấn công remote code execution (RCE), bỏ qua hiệu quả các lớp xác thực để đạt được quyền chiếm đoạt phiên (session takeover).

Bằng cách tiêm các payload độc hại vào các trường đầu vào không được xác thực, kẻ tấn công giành được quyền truy cập quản trị. Điều này cho phép chúng cài đặt các backdoor dai dẳng hoặc các web skimmer dựa trên JavaScript trực tiếp lên các trang thanh toán. Mục tiêu cuối cùng là thu thập thông tin thẻ tín dụng và dữ liệu cá nhân khác, biến đây thành một lỗ hổng CVE có hậu quả nghiêm trọng.

RCE Không Xác Thực trong Oracle E-Business Suite

Ngoài ra, việc khai thác CVE-2025-61882 trong Oracle E-Business Suite cho phép remote code execution không xác thực. Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép các nhóm ransomware làm tê liệt các hệ thống kho hàng phụ trợ (backend inventory systems). Khả năng truy cập không cần xác thực vào các hệ thống quan trọng này có thể dẫn đến gián đoạn hoạt động nghiêm trọng và tổn thất tài chính lớn, làm nổi bật thêm mối đe dọa mạng từ các lỗ hổng chưa được vá.

Các Biện pháp Phòng ngừa và Cập nhật Bản vá Bảo mật Khẩn cấp

Các cuộc tấn công kỹ thuật này được thực hiện thông qua các script tự động liên tục dò quét các hệ thống chưa được vá lỗi. Điều này biến một lỗ hổng đơn lẻ thành một cổng để đánh cắp dữ liệu hàng loạt (data exfiltration). Mối đe dọa mạng này đòi hỏi các nhà cung cấp dịch vụ thương mại điện tử phải có hành động khẩn cấp.

Việc khai thác có hệ thống này nhấn mạnh nhu cầu cấp thiết các doanh nghiệp phải áp dụng bản vá bảo mật ngay lập tức. Cập nhật hệ thống định kỳ và thực hiện các biện pháp an ninh mạng mạnh mẽ là cần thiết để bảo vệ chống lại các hình thức tấn công phức tạp như vậy.

Các tổ chức cần ưu tiên quét lỗ hổng và quản lý bản vá để giảm thiểu rủi ro từ các lỗ hổng CVE đã biết và chưa biết. Việc triển khai các hệ thống phát hiện xâm nhập (IDS) và giám sát liên tục các luồng mạng cũng giúp phát hiện sớm các hoạt động độc hại, góp phần tăng cường khả năng phòng thủ trước mối đe dọa mạng liên tục.