A loja eletrônica da Casio no Reino Unido, no endereço casio.co.uk, foi invadida para incluir scripts maliciosos que roubaram informações de cartão de crédito e de clientes entre 14 e 24 de janeiro de 2025.
Clientes que realizaram compras entre essas datas podem ter tido seus dados pessoais e informações de cartão de crédito roubados por hackers.
O incidente foi descoberto pela JSCrambler, que notificou a Casio em 28 de janeiro.
O script malicioso foi removido do site da Casio UK em menos de 24 horas.
A JSCrambler informa que o ataque explorou vulnerabilidades do Magento e também visou outros 17 sites.
Os nomes das outras empresas estão sendo retidos enquanto os pesquisadores trabalham com os sites afetados para remover as infecções.
Tecnicamente, o ataque utiliza um skimmer inicial simples instalado no site, que busca dinamicamente o skimmer de segunda fase de um provedor de hospedagem russo (ru-jsciot).
A segunda fase é ofuscada usando uma codificação personalizada e ocultação de string baseada em XOR para evitar detecção.
Uma vez que a vítima adicionava itens ao carrinho virtual, o skimmer carregava um formulário falso de checkout em vez de direcioná-los para a página real de finalização de compra, como a maioria dos skimmers faz.
O formulário não foi projetado para combinar com o tema geral do site da Casio UK, e não será acionado se o botão "comprar agora" for clicado, indicando uma falta de sofisticação no ataque.
O formulário malicioso é projetado para roubar dados sensíveis do cliente, incluindo endereço de cobrança, endereço de e-mail, número de telefone, nome do titular do cartão de crédito, número do cartão de crédito, data de validade do cartão de crédito e código CVV do cartão.
Após inserir todos os detalhes, a vítima é apresentada com um erro falso e, em seguida, redirecionada para a página legítima de checkout da Casio UK para completar seu pedido como de costume.
Os dados roubados são criptografados com AES-256-CBC e exfiltrados para o servidor do atacante, que, em todos os casos observados, tinha um endereço IP russo.
A JSCrambler comenta que a Casio tinha proteções de Content Security Policy (CSP) em vigor, que deveriam restringir a execução de scripts maliciosos no site, mas estava configurada de forma muito frouxa.
"A Casio UK tinha uma Content Security Policy (CSP) em vigor, mas estava configurada no modo de apenas relatório (Content-Security-Policy-Report-Only) e não estava configurada para relatar quaisquer violações (sem diretivas report-uri ou report-to)", explica a JSCrambler.
Como resultado, as violações de CSP foram apenas registradas no console do navegador em vez de prevenir ativamente o ataque.
O gigante japonês da eletrônica e relojoaria passou por momentos difíceis recentemente, com vários vazamentos de dados e ataques de ransomware impactando diversos departamentos e serviços.
No início do mês passado, a empresa admitiu que o ataque de ransomware sofrido em outubro de 2024, reivindicado pelo Underground, expôs os dados pessoais de aproximadamente 8.500 pessoas.
Também em outubro, a Casio divulgou um incidente de segurança separado em que um invasor acessou as informações pessoais dos clientes de sua plataforma educacional ClassPad de 149 países.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...