In een blog post van maandag, 3 November, 2014 onderzoekers in Fortinet maken bekend dat zij onlangs zijn gekomen over een nieuwe versie van de beruchte Backoff PoS malware, genaamd ROM. De nieuwe versie is een zeer nauwkeurige vergelijking met de vorige.
Terwijl de oudere versie was vrijwel gelijk aan de vorige, ROM is ontworpen om beter te ontwijken en by-pass een software-analyse proces van een machine. De nieuwste Backoff versie die technische naam is W32 / Backoff.B!tr.spy niet langer gebruik maakt van een versienummer in het logbestand. Dit is alleen vervangen door de "ROM" woord nu.
Om ervoor te zorgen dat het constant lopende, de malware creëert serie logs voor automatische systeem register start tijdens de installatie. De nieuwste versie is niet anders dan de anderen, maar in plaats daarvan als zijnde vermomd als een component Java dit keer is het bedekt als onderdeel van de Windows Media Player-programma onder de naam mplayerc.exe. Bovendien, in tegenstelling tot de vorige versies die waren het maken van kopieën van zichzelf als CopyFileA API deze ene noemt zichzelf API WinExec.
Functionaliteit ROM's voor de extractie van credit cards informatie blijft vrijwel hetzelfde, maar het heeft twee processen nu toegevoegd – Spoor 1 ontleden van de informatie en Track 2 - Opslaan van de gegevens op de geïnfecteerde machine. Volg 1 de namen van de processen zijn vermomd als hash tekenen en in stijl 2 slaat de data op de lokale computer.
Net als zijn vorige versie ROM negeert parsing sommige processen, maar in plaats van het vergelijken van proces namen tegen de namen in zijn zwarte lijsten in een reguliere code gebruikt het al een-hash gewaardeerd tafels. Na de vergelijking wordt gemaakt het bespaart de credit card-informatie in versleutelde bestand in de % AppData% \ Media Player Classic \ locale.dat Windows bestandsmap.
Voordat u controleert of het bestand in de controle en commando-server van de malware controleert eerst of, het opgeslagen bestand kan worden gevonden op de geïnfecteerde machine. Als dit het geval is, versleutelt het en gaat het in een POST-aanvraag.
Veranderingen op het gebied van communicatie met de controle en commando server van de nieuwste versie van de malware zijn zo goed gemaakt. Het communiceert met de server via poort 443, alle de datastroom wordt ook gecodeerd, waardoor het zeer moeilijk te detecteren. De namen in de gegevens aanvragen worden ook veranderd, sommigen van hen zelfs met extra Base664 encryptie. Hier zijn de belangrijkste componenten van de malware concateneert nu:
- Hard-coded touwtje
- Willekeurig gegenereerde zeven tekens bestaande code
- Nog een hard-coded touwtje
- De gebruikersnaam en de naam van de computer
Bovendien de servergegevens responsen veranderd. Als ze bestonden uit eenvoudig en begrijpelijk opdrachten in de vorige versies, nu worden ze vervangen door één enkele bytes, ex. - Vorige versie "Update", nieuwe versie – “0x01” enzovoort. De nieuwe reacties kunt u hier vinden.
Een van de Backoff belangrijkste functies in oudere versies - keylogging is niet aanwezig in de ROM een, maar het zou kunnen verschijnen met een nieuwe versie van de malware in de toekomst.
Wij adviseren al onze lezers om hun anti-virus software te onderhouden en om alle beveiligingsupdate artikelen voor nieuws volgen.
