En una entrada de blog desde el lunes, 3 Noviembre, 2014 investigadores de Fortinet anuncian que han llegado recientemente a través de una nueva versión del conocido software malicioso Backoff PoS, llamada ROM. La nueva versión es un muy preciso en comparación con los anteriores.
Mientras que la versión anterior era más o menos similar a los anteriores, ROM está diseñado para evadir mejor y haciendo pasar un proceso de análisis de software de una máquina. La última versión de retroceso cuyo nombre técnico es W32 / Backoff.B!tr.spy ya no utiliza un número de versión en el archivo de registro. Este ha sido sustituido sólo por la palabra "ROM" ahora.
Con el fin de asegurarse de que está en constante funcionamiento, el malware crea serie de registros de conexión automática de registro del sistema durante la instalación. La nueva versión no es diferente de los otros, sino más bien como está disfrazado como un componente de Java este momento está cubierto como parte del programa de Windows Media Player con el nombre de mplayerc.exe. Adicionalmente, a diferencia de las versiones anteriores, que estaban haciendo copias de sí mismos como API CopyFileA éste llama a sí misma API WinExec.
Funcionalidad de ROM para la extracción de las tarjetas de crédito la información sigue siendo más o menos la misma, pero tiene dos procesos más añadido ahora – Pista 1 análisis de la información y de la pista 2 - Almacenar los datos en la máquina infectada. En la pista 1 los nombres de los procesos se disfrazan como signos de hash y en pista 2 almacena los datos en la máquina local.
Al igual que su versión anterior ROM ignora analizar algunos procesos, pero en lugar de comparar los nombres de procesos en contra de los nombres en sus listas negras en un código normal que ya utiliza una tablas hash de valor. Después se realiza la comparación se guarda la información de la tarjeta de crédito en archivo cifrado en el % AppData% \ Media Player Classic \ directorio de archivos de Windows locale.dat.
Antes de comprobar el archivo en el servidor de control y comando de los primeros cheques de malware si, el archivo guardado se puede encontrar en la máquina infectada. Si este es el caso, que lo cifra y lo introduce en una petición POST.
Los cambios en cuanto a la comunicación con el servidor de control y mando de la nueva versión del malware se han hecho así. Se comunica con el servidor a través del puerto 443, todos los flujo de datos se cifran así, que hace que sea muy difícil de detectar. También se cambian los nombres en las solicitudes de datos, algunos de ellos incluso con cifrado Base664 adicional. Estos son los componentes principales de los concatena de malware ahora:
- Cadena codificada Hard-
- Generado al azar de siete caracteres de código
- Una cadena más rígida
- El nombre de usuario y el nombre del equipo
Además también se cambian las respuestas de datos de servidor. Si ellos consistían en órdenes simples y comprensibles en las versiones anteriores, ahora son reemplazados por bytes individuales, para ex. - Versión anterior "Actualizar", nueva versión - "0x01", etc.. Las nuevas respuestas se pueden encontrar aquí.
Una de las características clave Backoff en las versiones anteriores - keylogger no está presente en la ROM, pero podría aparecer con una nueva versión del malware en el futuro.
Aconsejamos a todos nuestros lectores a mantener su software anti-virus y seguir todos los artículos de actualización de seguridad para las noticias.