Eine neue und verbesserte Variante des Backoff Malware, auch als ROM bekannt, wurde von Sicherheitsexperten vor kurzem festgestellt.
Forscher mit Fortinet berichtet, dass die neue Version von der Verkaufsstelle Malware ist fast der gleiche wie der vorhergehende. Security-Produkte zu erkennen ROM als W32 / Backoff.B!tr.spy. Der Körper des ROM nicht eine Versionsnummer enthalten.
Die neue Backoff Malware – Was ist anders?
Was ist neu ist die Möglichkeit, nicht entdeckt zu werden, und blockieren den Prozess der Analyse. Rom nicht als Java-Komponente verstecken mehr; anstatt es verschleiert als Media Player - mplaterc.exe. Sobald die Malware kopiert sich in den Zielcomputer, es auf eine API-Aufrufe, WinExec. Um den Prozess der Analyse zu vermeiden, die API übernimmt Namen mit Hash-Werten.
Fortinet Analysten berichten, dass ROM, die das Auslesen Track ist 1 und verfolgen 2 Informationen von POS-Terminals, wie Backoff. Das Malware ignoriert vorbestimmte Prozesse aus, die analysiert und verwendet eine Liste von Hash-Werten, wenn es den Prozessnamen vergleicht gegen seine hart codiert Blacklist. ROM können auch Daten von gestohlenen Kreditkarten speichern. Die Information wird mit zwei hartcodierten Zeichenfolgen auf dem System verschlüsselt. Die Forscher sagen, dass ROM kommuniziert mit dem C&C-Server über den Port 443, die ebenfalls verschlüsselt. Dies macht das Verfahren der Erfassung sehr schwer.
Zunächst im August erkannt, die Malware besitzt die folgenden Merkmale:
- Datendiebstahl
- Speicher Schaben
- Exfiltration
- Einspritzung
- Keylogger
Eigentümlicherweise, das letzte Feature ist nicht in ROM.
Wie verlautet, über 400 Standorte wurden von Backoff im letzten Monat getroffen, erpressen Namen der Benutzer, Kreditkartennummern und Ablaufdaten. Bereits im August, Forscher mit Kaspersky Lab berichtet über 1000 Infektionen allein in den USA.
