شهد موسم الأعياد لعام 2025 موجة غير مسبوقة من التهديدات السيبرانية، حيث سعى المهاجمون لاستغلال الزيادة العالمية في التجارة الإلكترونية من خلال بنية تحتية مؤتمتة.
ويتميز مشهد التهديدات هذا العام بتوسع محسوب للأصول الرقمية الخادعة، حيث يستغل المجرمون الأدوات الآلية لتوسيع نطاق عملياتهم عبر فئات تجارية متعددة.
يعتمد المتجه الرئيسي لهذه الحملات على الإنشاء الجماعي لمواقع إلكترونية مشابهة، مصممة لتقليد تجار التجزئة الشرعيين وسرقة بيانات المستهلكين الحساسة خلال فترات التسوق الذروة. يشكل تسجيل أكثر من 18,000 نطاق مرتبط بالعطلات خلال الأشهر الثلاثة الماضية مؤشراً هاماً لهذه الهجمة الاستباقية.
تستهدف هذه النطاقات الكلمات المفتاحية ذات الزيارات العالية مثل “عيد الميلاد” (Christmas) و”الجمعة السوداء” (Black Friday) و”تخفيضات سريعة” (Flash Sale)، وتعمل كقاعدة لعمليات التصيد الاحتيالي وواجهات المتاجر الاحتيالية. العديد من هذه المواقع تقلد أسماء تجارية معروفة مع اختلافات طفيفة في عنوان URL، مما يجعل التمييز بينها صعباً على المتسوقين المستعجلين.
استغلال الثغرات التقنية في المنصات
بينما تظل أجزاء من هذه النطاقات غير نشطة لتجنب الكشف المبكر، تم بالفعل استخدام المئات منها لاستضافة عمليات احتيال تتعلق ببطاقات الهدايا وصفحات حصاد المدفوعات.
وقد حدد محللو الأمن في Fortinet هذه الشبكة الواسعة من البنية التحتية الخبيثة، مشيرين إلى أن حجم الحملة يسهل تسميم محركات البحث (SEO poisoning) بشكل فعال.
من خلال تضخيم ترتيب نتائج البحث لهذه الروابط الخبيثة مالياً، يضمن المهاجمون ظهور مواقعهم الاحتيالية جنباً إلى جنب مع النتائج الشرعية خلال فترات حركة المرور القصوى.
كما سلط الباحثون الضوء على زيادة مقلقة في سرقة بيانات الاعتماد، حيث يتم تداول أكثر من 1.57 مليون حساب مسجل الدخول من مواقع التجارة الإلكترونية الرئيسية حالياً في الأسواق السرية.
تحتوي سجلات السرقة هذه (stealer logs) على كلمات مرور مخزنة في المتصفح، وملفات تعريف الارتباط، ورموز الجلسة، مما يتيح الاستيلاء السريع على الحسابات التي تتجاوز آليات الأمان التقليدية لتسجيل الدخول.
الاستغلال الفني لثغرات المنصات
تبرز براعة هذه الهجمات في استغلالها المستهدف لثغرات التجارة الإلكترونية الحرجة. يستخدم المهاجمون حالياً CVE-2025-54236، وهي ثغرة حرجة في Adobe Magento ناتجة عن التحقق غير السليم من المدخلات.
تسمح هذه الثغرة للمعنيين بتنفيذ هجمات تنفيذ التعليمات البرمجية عن بعد (RCE)، مما يتجاوز طبقات المصادقة لتحقيق الاستيلاء على الجلسات. من خلال حقن حمولات خبيثة في حقول الإدخال غير المتحقق منها، يحصل المهاجمون على وصول إداري، مما يتيح لهم تثبيت نوافذ خلفية دائمة أو برامج تجسس مستندة إلى JavaScript مباشرة على صفحات الدفع.
بالإضافة إلى ذلك، يسمح استغلال CVE-2025-61882 في Oracle E-Business Suite بتنفيذ تعليمات برمجية عن بعد غير مصادق عليه، مما يمكّن مجموعات برامج الفدية من شل أنظمة المخزون الخلفية.
يتم تنفيذ هذه الاختراقات التقنية عبر برامج نصية مؤتمتة تقوم باستمرار بالمسح بحثاً عن الأنظمة غير المرقعة، محولة ثغرة واحدة إلى بوابة لاستخراج البيانات على نطاق واسع.
يؤكد هذا الاستغلال المنهجي على الحاجة الماسة لأن يقوم التجار بتطبيق التصحيحات على الفور.