En ny og forbedret variant af backoff malware, også kendt som ROM, er blevet opdaget af sikkerhedseksperter for nylig.
Forskere med Fortinet rapporterede, at den nye version af salgsstedet malware er næsten den samme som den forrige. Sikkerhed produkter opdage ROM som W32 / Backoff.B!tr.spy. Kroppen ROM indeholder ikke et versionsnummer.
The New backoff Malware – Hvad er anderledes?
Det nye er evnen til at undgå afsløring og blokere processen for analyse. Rom lægger ikke skjul som en Java-komponent længere; i stedet forklæder som en medieafspiller - mplaterc.exe. Så snart de malware kopierer sig selv til den målrettede computer, opfordres en API, WinExec. For at undgå analyseproces, API tager over navne med punkterede værdier.
Fortinet analytikere rapporterer, at ROM er i stand til at udvinde Track 1 og Track 2 oplysninger fra POS-terminaler, ligesom backoff. Den malware ignorerer forudbestemte processer i at blive analyseret og bruger en liste over skraverede værdier, når den sammenligner processen navn mod dets hårdt kodet sortliste. ROM kan også gemme data fra stjålne kreditkort. Oplysningerne er krypteret med to fastkodede strenge på systemet. Forskerne siger, at ROM kommunikerer med C&C server over havn 443, som også er krypteret. Dette gør processen med opdagelse ganske vanskeligt.
Oprindeligt opdaget i august, malware har følgende egenskaber:
- Datatyveri
- Memory skrabning
- Exfiltration
- Injektion
- Keylogging
Mærkeligt nok, den sidste funktion er ikke at findes i ROM.
Angiveligt, løbet 400 steder blev ramt af backoff i den seneste måned, afpresser brugernes navne, kreditkortnumre og udløbsdatoer. Tilbage i august, forskere med Kaspersky Lab rapporteret over 1000 infektioner i USA alene.
