Een nieuwe en verbeterde variant van de Backoff malware, ook wel ROM, werd ontdekt door security experts onlangs.
Onderzoekers Fortinet gemeld dat de nieuwe versie van het verkooppunt malware is bijna hetzelfde als de vorige. Beveiligingsproducten detecteren ROM als W32 / Backoff.B!tr.spy. Het lichaam van de rom niet een versienummer bevatten.
The New Backoff Malware – Wat is er anders?
Nieuw is het vermogen om detectie te vermijden en blokkeren het analyseproces. Rom niet meer verbergen als een component Java; in plaats daarvan vermomt als mediaspeler - mplaterc.exe. Zodra de malware kopieert zichzelf naar de beoogde computer, Het roept een API, WinExec. Om het proces van analyse vermijden, de API overneemt namen met hash waarden.
Fortinet analisten melden dat ROM kan extraheren Track 1 en Track 2 informatie van POS-terminals, net als Backoff. De malware negeert vooraf bepaalde processen worden geanalyseerd en gebruikt een lijst van hash-waarden als het vergelijkt de naam van het proces tegen zijn hard gecodeerd zwarte lijst. ROM kan ook gegevens op te slaan van gestolen creditcards. De informatie wordt gecodeerd met twee hard-coded snaren op het systeem. De onderzoekers zeggen dat de ROM communiceert met de C&C server via poort 443, die eveneens gecodeerd. Dit maakt het proces van detectie heel moeilijk.
Oorspronkelijk ontdekt in augustus, de malware beschikt over de volgende eigenschappen:
- Diefstal van gegevens
- Geheugen scraping
- Exfiltratie
- Injectie
- Keylogging
Vreemd genoeg, De laatste functie is niet te vinden in het ROM.
Naar verluidt, over 400 locaties werden getroffen door Backoff in de afgelopen maand, afpersen van de namen van gebruikers, creditcardnummers en vervaldata. Terug in augustus, onderzoekers met Kaspersky Lab gemeld dan 1000 infecties in de Verenigde Staten alleen.
