Em uma postagem do blog na segunda-feira, 3 novembro, 2014 pesquisadores da Fortinet anunciam que encontraram recentemente uma nova versão do notório malware Backoff PoS, chamado ROM. A nova versão é muito precisa em comparação com as anteriores.
Enquanto a versão mais antiga era muito semelhante às anteriores, ROM é projetado para melhor evadir e contornar um processo de análise de software de uma máquina. A última versão Backoff cujo nome técnico é W32 / Backoff.B!tr.spy não usa mais um número de versão no arquivo de log. Isso foi substituído apenas pela palavra “ROM” agora.
Para ter certeza de que está sempre funcionando, o malware cria uma série de registros para o início automático do registro do sistema durante a instalação. A versão mais recente não é diferente das outras, mas em vez disso, disfarçada como um componente Java, desta vez é coberta como parte do programa Windows Media Player com o nome de mplayerc.exe. além do que, além do mais, ao contrário das versões anteriores, que faziam cópias de si mesmas como API CopyFileA, esta se autodenomina API WinExec.
A funcionalidade da ROM para extrair informações de cartões de crédito permanece praticamente a mesma, mas tem mais dois processos adicionados agora – Acompanhar 1 analisar as informações e rastrear 2 - armazenar os dados na máquina infectada. Em Trilha 1 os nomes dos processos são disfarçados como sinais de hash e em Track 2 ele armazena os dados na máquina local.
Como sua versão anterior, o ROM ignora a análise de alguns processos, mas em vez de comparar nomes de processos com os nomes em suas listas negras em um código regular, ele já usa tabelas com valor hash. Após a comparação ser feita, ele salva as informações do cartão de crédito em um arquivo criptografado no % Dados do aplicativo% \ Media Player Classic \ locale.dat diretório de arquivos do Windows.
Antes de verificar o arquivo no servidor de controle e comando, o malware primeiro verifica se, o arquivo salvo pode ser encontrado na máquina infectada. Se esse é o caso, ele o criptografa e o insere em uma solicitação POST.
Mudanças em termos de comunicação com o servidor de controle e comando da versão mais recente do malware também foram feitas. Ele se comunica com o servidor via porta 443, todo o fluxo de dados sendo criptografado também, o que torna muito difícil detectar. Os nomes nas solicitações de dados também são alterados, alguns deles até mesmo tendo criptografia Base664 adicional. Aqui estão os principais componentes que o malware concatena agora:
- String codificada
- Código de sete caracteres gerado aleatoriamente
- Mais uma string codificada
- O nome de usuário e o nome do computador
Além disso, as respostas dos dados do servidor também são alteradas. Se consistissem em comandos simples e compreensíveis nas versões anteriores, agora eles são substituídos por bytes únicos, para ex. - versão anterior “Update”, nova versão - “0x01” e assim por diante. As novas respostas podem ser encontradas aqui.
Um dos principais recursos do Backoff em versões mais antigas - o keylogging não está presente na ROM, mas pode aparecer com uma nova versão do malware no futuro.
Aconselhamos todos os nossos leitores a manter seu software antivírus e seguir todos os artigos de atualização de segurança para obter notícias.
