Una variante nueva y mejorada del software malicioso Backoff, también conocido como ROM, ha sido detectado por los expertos en seguridad recientemente.
Los investigadores informaron que Fortinet con la nueva versión del punto de venta de software malicioso es casi la misma que la anterior. Los productos de seguridad detectan ROM como W32 / Backoff.B!tr.spy. El cuerpo de ROM no contiene un número de versión.
La Nueva Backoff Malware – Lo que es diferente?
Lo que es nuevo es la capacidad para evitar la detección y bloquear el proceso de análisis. Rom no oculta como un componente de Java más; sino que se disfraza como un reproductor multimedia - mplaterc.exe. Tan pronto como se copia de malware en el equipo de destino, hace un llamamiento a una API, WinExec. Para evitar el proceso de análisis, la API toma más de nombres con los valores hash.
Analistas Fortinet informan que ROM es capaz de extraer Track 1 y Track 2 información de terminales de punto de venta, al igual que Backoff. El malware ignora los procesos predeterminados de ser analizado y utiliza una lista de valores hash cuando se compara el nombre del proceso en contra de su lista negra codificado. ROM también puede almacenar los datos de tarjetas de crédito robadas. La información se cifra con dos cadenas no modificables en el sistema. Los investigadores dicen que la ROM se comunica con la C&Servidor de C a través del puerto 443, que también está cifrada. Esto hace que el proceso de detección muy difícil.
Inicialmente detectado en agosto, el malware posee los siguientes rasgos:
- El robo de datos
- Raspado de memoria
- Exfiltración
- Inyección
- Keylogging
Por extraño que parezca, La última característica no se que se encuentra en ROM.
Según se informa, por encima 400 lugares fueron alcanzados por Backoff en el último mes, extorsionar nombres de los usuarios, números de tarjetas de crédito y fechas de vencimiento. En agosto, investigadores con Kaspersky Lab informó sobre 1000 infecciones sólo en los EE.UU..
