Se descubrió que el ataque explotó vulnerabilidades en la plataforma de comercio electrónico Magento y afectó también a otros 17 sitios web, cuyas identidades están siendo mantenidas en secreto mientras los investigadores trabajan en la eliminación de las infecciones.
Desde un punto de vista técnico, el ataque involucró un skimmer de primera etapa implantado en el sitio de Casio para cargar un segundo skimmer hospedado en un servidor ruso. Este segundo skimmer utilizó técnicas de ofuscación para eludir la detección, codificando el script en una forma personalizada. Cuando un usuario agregaba productos a su carrito, se le mostraba un formulario de pago falso en vez de ser enviado a la página de pago auténtica.
El formulario fraudulento estaba diseñado de tal forma que no coincidía con el esquema visual del sitio, y no se activaba al hacer clic en «Comprar ahora», lo que indicaba una falta de sofisticación en el ataque. El propósito de este falso formulario era robar información sensible, incluyendo la dirección de facturación, correo electrónico, número de teléfono, así como detalles de la tarjeta de crédito como el número, fecha de vencimiento y código CVV. Después de que las víctimas ingresaran sus datos, se les presentaba un mensaje de error falso y eran redirigidas a la página de pago legítima.
Los datos robados eran encriptados y enviados al servidor del atacante utilizando el estándar de encriptación AES-256-CBC, que resultó en la ubicación de la dirección IP en Rusia. JScrambler señaló que, a pesar de que Casio contaba con ciertas medidas de seguridad, específicamente una Política de Seguridad de Contenido (CSP), la configuración no era lo suficientemente restrictiva. El CSP estaba diseñado solo para registrar incidentes en lugar de evitar la ejecución de scripts maliciosos, lo que facilitó el éxito del ataque.
Casio, que es un reconocido gigante japonés de la electrónica y relojería, ha tenido desafíos recientes relacionados con la seguridad, incluyendo múltiples violaciones de datos y ataques de ransomware. Un incidente notable ocurrió en octubre de 2024, cuando la compañía admitió que un ataque de ransomware había expuesto los datos personales de aproximadamente 8,500 individuos. También en octubre, la firma reveló otro incidente de seguridad en el que un atacante accedió a información personal de usuarios de su plataforma educativa ClassPad en 149 países.
Este reciente ataque a su tienda electrónica ha destacado la urgencia de mejorar las configuraciones de seguridad en línea y de implementar prácticas más vigilantes para proteger la información de los clientes. Las empresas deben estar alertas a las vulnerabilidades dentro de sus sistemas y adoptar medidas proactivas para mitigar el riesgo de ataques cibernéticos que podrían comprometer la información sensible de los usuarios. A medida que el comercio electrónico sigue creciendo y evolucionando, la protección de datos se convierte en una prioridad crucial para las empresas, no solo para salvaguardar la información de los clientes, sino también para mantener la confianza en sus plataformas.
Enlace de la fuente, haz clic para tener más información