Casio UK’nin Casio.co.uk adresindeki e-mağaza, 14 ve 24 Ocak 2025 arasında kredi kartı ve müşteri bilgilerini çalan kötü amaçlı komut dosyalarını dahil etmek için saldırıya uğradı.
Bu tarihler arasında alışveriş yapan müşterilerin kişisel bilgileri ve kredi kartı verilerini bilgisayar korsanları tarafından çalınmış olabilir.
Olay, 28 Ocak’ta Casio’ya bildirilen JSCRAMBLER tarafından keşfedildi. Kötü amaçlı senaryo 24 saat içinde Casio UK sitesinden kaldırıldı.
JScrambler, saldırının Magento güvenlik açıklarından yararlandığını ve ayrıca 17 web sitesini hedeflediğini söyledi. Araştırmacılar enfeksiyonları kaldırmak için etkilenen sitelerle çalışırken diğer şirketin isimleri alıkoyuluyor.
Kaynak: Jscrambler
Operasyon Ayrıntıları
Teknik açıdan, saldırı, web sitesine dikilmiş basit bir birinci aşama sıyırıcı kullanıyor ve bu da bir Rus barındırma sağlayıcısından (RU-JSciot) dinamik olarak ikinci aşama sıyırıcıyı getiriyor.
İkinci aşama, kaçınma tespiti için özel kodlama ve XOR tabanlı ip kullanılarak gizlenir.
Kurban sanal sepetlerine eşya ekledikten sonra, skimmer çoğu sıyırıcının yaptığı gibi gerçek ödeme sayfasına yönlendirmek yerine sahte bir ödeme formu yükledi.
Kaynak: Jscrambler
Form, Casio UK’nin genel web sitesi temasını eşleştirmek için tasarlanmamıştır ve “Şimdi Satın Al” ı tetiklenir ve saldırıda sofistike bir eksiklik olduğunu gösterir.
Kötü niyetli form, fatura adresi, e -posta adresi, telefon numarası, kredi kartı sahibinin adı, kredi kartı numarası, kredi kartı son kullanma tarihi ve kredi kartı CVV kodu dahil olmak üzere müşterinin hassas verilerini çalmak için tasarlanmıştır.
Tüm ayrıntıları girdikten sonra, kurbana sahte bir hatayla sunulur ve daha sonra siparişlerini her zamanki gibi tamamlamak için Casio UK’nin meşru ödeme sayfasına yönlendirilir.
Çalınan veriler AES-256-CBC şifrelenmiş ve saldırganın sunucusuna eksfiltratlanmıştır, bu da gözlenen tüm vakalarda bir Rus IP adresidir.
Kaynak: Jscrambler
JScrambler, Casio’nun web sitesinde kötü amaçlı komut dosyası yürütülmesini kısıtlaması gereken içerik güvenliği politikası (CSP) korumalarına sahip olduğunu, ancak çok gevşek bir şekilde yapılandırıldığını söylüyor.
“Casio İngiltere’nin bir içerik güvenliği politikası (CSP) vardı, ancak yalnızca rapor moduna (sadece içerik güvenlik-politika-rapor) ayarlandı ve herhangi bir ihlali bildirmek için yapılandırılmadı (rapor-uri veya rapor yok -Direktifler), “diye açıklıyor JScrambler.
“Sonuç olarak, CSP ihlalleri, saldırıyı aktif olarak önlemek yerine tarayıcı konsoluna kaydedildi.”
Casio’nun Güvenlik Turları
Japon elektronikleri ve saat yapımı devi, son zamanlarda çeşitli departman ve hizmetleri etkileyen birden fazla veri ihlali ve fidye yazılımı saldırıları ile zor bir zaman geçirdi.
Geçen ayın başlarında şirket, yeraltı tarafından iddia edilen Ekim 2024’te yaşadığı fidye yazılımı saldırısının yaklaşık 8.500 kişinin kişisel verilerini ortaya çıkardığını itiraf etti.
Ayrıca Ekim ayında Casio, bir saldırganın 149 ülkeden ClassPad Eğitim Platformu müşterilerinin kişisel bilgilerine eriştiği ayrı bir güvenlik olayını açıkladı.