In un post sul blog dal Lunedi, 3 Novembre, 2014 ricercatori Fortinet annunciano di aver recentemente incontrato una nuova versione della famosa Backoff PoS di malware, chiamato ROM. La nuova versione è molto preciso rispetto a quelli precedenti.
Mentre la versione precedente era più o meno simile a quelli precedenti, ROM è progettato per eludere meglio e by-passare un processo di analisi software di una macchina. L'ultima versione Backoff il cui nome tecnico è W32 / Backoff.B!tr.spy non utilizza più un numero di versione nel file di registro. Questo è stato sostituito solo dalla parola "ROM" ora.
Al fine di assicurarsi che sia costantemente in esecuzione, il malware crea serie di registri per l'avvio del registro di sistema automatico durante l'installazione. La versione più recente non è diverso rispetto agli altri, ma invece ad essere mascherato da un componente Java questa volta è coperto come parte del programma Windows Media Player con il nome di mplayerc.exe. In aggiunta, a differenza delle versioni precedenti, che stavano facendo copie di se stessi come CopyFileA API questo si chiama API WinExec.
Funzionalità di ROM per l'estrazione di carte di credito informazioni rimane più o meno lo stesso, ma ha altri due processi aggiunti ora – Pista 1 l'analisi delle informazioni e Track 2 - Memorizzare i dati sulla macchina infetta. In pista 1 i nomi dei processi sono travestiti come i segni di hash e in pista 2 memorizza i dati sulla macchina locale.
Come il suo precedente versione ROM ignora l'analisi dei processi, ma invece di confrontare i nomi dei processi contro i nomi nelle sue liste nere in un codice regolare utilizza già un hash table-valore. Al termine del confronto è stato fatto salva i dati della carta di credito in un file crittografato nel % AppData% \ Media Player Classic \ directory di file di Windows locale.dat.
Prima di controllare il file nel server di controllo e il comando di malware prima controlla se, il file salvato può essere trovato sulla macchina infetta. Se questo è il caso, crittografa e entra in una richiesta POST.
I cambiamenti in termini di comunicazione con il server di comando e di controllo della nuova versione del malware sono stati fatti così. Esso comunica con il server tramite la porta 443, tutti il flusso dati vengono codificati e, che rende molto difficile da rilevare. I nomi delle richieste di dati vengono modificate anche, alcuni di loro anche con la crittografia Base664 supplementare. Ecco le principali componenti le concatena del malware oggi:
- Stringa hard-coded
- Casualmente generato sette caratteri del codice
- Una stringa di più hard-coded
- Il nome utente e il nome del computer
Inoltre le risposte di dati del server vengono modificate anche. Se consistevano di comandi semplici e comprensibili nelle versioni precedenti, ora sono sostituiti da singoli byte, es. - Versione precedente "Update", nuova versione - “0x01”, e così via. Le nuove risposte possono essere trovati qui.
Una delle caratteristiche principali di backoff in versioni precedenti - keylogging non è presente in una ROM, ma potrebbe apparire con una nuova versione del malware in futuro.
Noi consigliamo a tutti i nostri lettori per mantenere il loro software anti-virus e di seguire tutti gli articoli di aggiornamento della protezione per le notizie.
