Une nouvelle et améliorée variante du malware Backoff, également connu sous le nom ROM, a été détectée par les experts en sécurité récemment.
Les chercheurs de Fortinet ont indiqué que la nouvelle version du point de vente de logiciels malveillants est presque le même que le précédent. Les produits de sécurité détectent ROM sous le nom W32 / Backoff.B!tr.spy. Le corps de ROM ne contient pas de numéro de version.
Le New Backoff Malware – Ce qui est différent?
Ce qui est nouveau, ce est la capacité pour éviter la détection et de bloquer le processus d'analyse. Rom ne cache pas que plus d'un composant Java; à la place, il déguise en un lecteur multimédia - mplaterc.exe. Dès que se les copies de logiciels malveillants sur l'ordinateur ciblé, elle appelle une API, WinExec. Pour éviter le processus d'analyse, l'API prend plus de noms avec des valeurs hachés.
Fortinet analystes signalent que ROM est capable d'extraire piste 1 et la piste 2 informations de terminaux de paiement, tout comme Backoff. Le malware ignore prédéterminé de processus en cours d'analyse et utilise une liste de valeurs hachés quand il compare le nom du processus contre sa liste noire codé en dur. ROM peut également stocker les données des cartes de crédit volées. Les informations sont cryptées avec deux chaînes codées en dur sur le système. Les chercheurs disent que ROM communique avec le C&C serveur sur le port 443, qui est également crypté. Cela rend le processus de détection très difficile.
Initialement détecté en Août, le malware possède les caractéristiques suivantes:
- Le vol de données
- Mémoire grattage
- Exfiltration
- Injection
- Keylogging
Curieusement, La dernière caractéristique est de ne pas être trouvé dans la ROM.
Aurait, plus de 400 endroits ont été touchés par de repli au cours du mois passé, extorquer les noms des utilisateurs, numéros de carte de crédit et date d'expiration. Retour en Août, chercheurs de Kaspersky Lab ont rapporté plus de 1000 infections dans les seuls USA.