バックオフマルウェアの新しくアップグレードされた亜種, ROMとも呼ばれます, 最近セキュリティ専門家によって検出されました.
フォーティネットの研究者は、POSマルウェアの新しいバージョンは以前のものとほぼ同じであると報告しました. セキュリティ製品はROMをW32/Backoff.Bとして検出します!tr.spy. ROM本体にバージョン番号が含まれていません.
新しいバックオフマルウェア – 何が違うの?
新機能は、検出を回避し、分析プロセスをブロックする機能です. RomはJavaコンポーネントとして非表示になりません; 代わりに、メディアプレーヤーになりすます– mplaterc.exe. マルウェアが自分自身を標的のコンピューターにコピーするとすぐに, APIを呼び出します, WinExec. 分析のプロセスを回避するため, APIはハッシュ値を持つ名前を引き継ぎます.
フォーティネットのアナリストは、ROMがトラックを抽出できると報告しています 1 と追跡 2 PoS端末からの情報, バックオフのように. マルウェアは、事前に定義されたプロセスの分析を無視し、プロセス名をハードコードされたブラックリストと比較するときにハッシュ値のリストを使用します. ROMは、盗まれたクレジットカードからのデータも保存できます. 情報は、システム上で2つのハードコードされた文字列で暗号化されます. 研究者はROMがCと通信すると言います&ポート経由のCサーバー 443, これも暗号化されています. これにより、検出プロセスが非常に困難になります.
8月に最初に検出されました, マルウェアには次の特徴があります:
- データの盗難
- メモリスクレイピング
- 浸透
- 注入
- キーロガー
奇妙なことに, 最後の機能はROMにはありません.
伝えられるところによると, 以上 400 先月、場所がバックオフに見舞われた, ユーザーの名前を恐喝する, クレジットカード番号と有効期限. 8月に戻る, KasperskyLabの研究者は 1000 米国だけでの感染症.