Hack Alerta

Pré‑Natal digital: 18.000 domínios, CVEs críticos e risco para e‑commerce

Por Redação Hack Alerta Publicado em 28/11/2025 10:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisas apontam registro de mais de 18.000 domínios temáticos em três meses e exploração ativa de CVEs críticos (incluindo CVE‑2025‑54236 e CVE‑2025‑61882) para instalar skimmers e obter acesso administrativo em lojas online; mais de 1,57 milhão de contas e 250 lojas comprometidas são citadas.

A temporada de compras pré‑Natal de 2025 trouxe uma campanha em escala industrial: mais de 18.000 domínios temáticos foram registrados nos últimos três meses e vulnerabilidades críticas em plataformas de comércio eletrônico estão sendo ativamente exploradas para instalar skimmers e obter acesso administrativo.

Descoberta e escopo

Relatórios de pesquisadores de segurança indicam a criação em massa de domínios que exploram keywords como “Christmas”, “Black Friday” e “Flash Sale”; a operação incluiu o registro de mais de 18.000 domínios no período de três meses. Analistas também identificaram mais de 1,57 milhão de contas de login de sites de comércio em circulação em mercados clandestinos e confirmaram mais de 250 lojas comprometidas via exploração de vulnerabilidades em plataformas de e‑commerce.

Abordagem técnica / Vetores observados

As fontes descrevem exploração ativa de várias vulnerabilidades críticas que permitem desde takeover de sessão até execução remota de código (RCE) e injeção de skimmers JavaScript nas páginas de checkout.

  • CVE‑2025‑54236 (Adobe Commerce / Magento Open Source): classificada com CVSS 9.1 e referida pela fonte como sendo explorada ativamente (denominada “SessionReaper” na matéria). A falha de validação de entrada permite que atacantes não autenticados alcancem RCE e instalem skimmers ou backdoors. A recomendação apontada é aplicar o boletim APSB25‑88 e atualizar para as versões 2.4.7‑p8, 2.4.6‑p13 ou 2.4.5‑p15.
  • CVE‑2025‑61882 (Oracle E‑Business Suite): descrita como uma RCE não autenticada no componente de integração do BI Publisher, com CVSS 9.8. A exploração tem sido usada por grupos de ransomware para comprometer sistemas ERP e interromper inventário e ordens; a ação recomendada é aplicar o Oracle Critical Patch Update de outubro de 2025 e isolar instâncias expostas quando o patch não puder ser aplicado imediatamente.
  • CVE‑2025‑47569 (WooCommerce — Ultimate Gift Card Plugin): SQL Injection (CVSS 9.3) que permite extração de bases de dados e roubo de PII; a orientação é atualizar o plugin para versão > 2.8.10 ou desabilitá‑lo se a atualização não for possível.
  • Bagisto: duas falhas relatadas (Server‑Side Template Injection e CSV formula injection) com recomendação de atualizar para Bagisto v2.3.8 ou superior e sanitizar entradas/exports.

Impacto e alcance

O incidente combina duas frentes: a construção de infraestrutura de phishing/lojas falsas (domínios em massa e SEO poisoning) e a exploração de vulnerabilidades em plataformas backend para inserir skimmers ou obter acesso administrativo. Isso expõe varejistas — especialmente quem usa Magento/Adobe Commerce, plugins WooCommerce vulneráveis ou instâncias Oracle EBS expostas — a perda de dados de clientes, furtos de credenciais e possíveis operações de ransomware.

Mitigações e recomendações técnicas

  • Patch imediato das vulnerabilidades citadas: aplicar APSB25‑88 para Adobe Commerce / Magento e o Oracle CPU de outubro de 2025 para EBS.
  • Atualizar ou desabilitar plugins vulneráveis (ex.: Ultimate Gift Card > 2.8.10) e atualizar Bagisto para v2.3.8+ quando aplicável.
  • Monitorar e bloquear domínios semelhantes ao da marca, reforçar controles de integridade em páginas de checkout e revisar logs para detecção de injeções JavaScript e exfiltração de dados.
  • Isolar instâncias críticas (ERP/Sistemas de pedido) do acesso público se o patch não puder ser aplicado imediatamente.

Limites das informações

As fontes não detalham a distribuição geográfica das lojas comprometidas nem fornecem uma lista exaustiva de vítimas. Também não há, nos materiais consultados, atribuição técnica definitiva além da menção a “grupos de ransomware” no caso de EBS; portanto, cenários de autoria permanecem indeterminados.

Repercussão e considerações regulatórias

Além do risco operacional e financeiro, a exfiltração de dados de clientes pode gerar obrigações regulatórias. Caso dados de titulares brasileiros tenham sido comprometidos, as empresas brasileiras estão sujeitas a análises sob a LGPD — incluindo obrigação de notificação à Autoridade Nacional de Proteção de Dados e potenciais multas — dependendo do escopo e das medidas de mitigação adotadas.

Próximos passos para equipes de segurança

Priorizar inventário de plataformas de e‑commerce e plugins, aplicar patches de segurança, revisar políticas de exposição de sistemas ERP, e aumentar a detecção de skimmers e domínios fraudulentos vinculados à marca. As fontes enfatizam que a escala da operação é possibilitada por automação: scripts de varredura transformam vulnerabilidades individuais em compromissos em massa.

Baseado em publicação original de Cyber Security News
Tags: #dominios #phishing #magento #oracle #woocommerce #bagisto #e-commerce #cve #skimmer
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar