Uma variante nova e atualizado do malware Backoff, também conhecido como ROM, Foi detectado por especialistas em segurança recentemente.
Pesquisadores da Fortinet relataram que a nova versão do malware de ponto de venda é quase igual à anterior. Produtos de segurança detectam ROM como W32 / Backoff.B!tr.spy. O corpo da ROM não contém um número de versão.
O novo malware de backoff – O que é diferente?
A novidade é a capacidade de evitar a detecção e bloquear o processo de análise. Rom não se esconde mais como um componente Java; em vez disso, ele se disfarça como um reprodutor de mídia - mplaterc.exe. Assim que o malware se copia no computador de destino, chama uma API, WinExec. Para evitar o processo de análise, a API assume nomes com valores hash.
Analistas da Fortinet relatam que ROM é capaz de extrair Track 1 e rastrear 2 informações dos terminais PoS, assim como Backoff. O malware ignora a análise de processos predeterminados e usa uma lista de valores em hash ao comparar o nome do processo com sua lista negra codificada.. ROM também pode armazenar dados de cartões de crédito roubados. A informação é criptografada com duas strings embutidas no sistema. Os pesquisadores dizem que o ROM se comunica com o C&Servidor C na porta 443, que também é criptografado. Isso torna o processo de detecção bastante difícil.
Detectado inicialmente em agosto, o malware possui as seguintes características:
- Roubo de dados
- Raspagem de memória
- Exfiltração
- Injeção
- keylogging
Curiosamente, o último recurso não pode ser encontrado na ROM.
Alegadamente, sobre 400 locais foram atingidos por Backoff no mês passado, extorquir nomes de usuários, números de cartão de crédito e datas de validade. Em agosto, pesquisadores da Kaspersky Lab relataram 1000 infecções apenas nos EUA.
