07.11.2014,
14:15
116
POS-троян Backoff стало труднее обнаружить и проанализировать
Об этом сообщает исследователь Fortinet Хон Кэй Чань (Hong Kei Chan) в блоге компании.
Еще в августе представители Министерства внутренней безопасности и Компьютерной группы реагирования на чрезвычайные ситуации США предупреждали о существовании тяжелодетектируемого вредоносного ПО, нацеленного на POS-устройства. Тогда специалисты ведомств обнаружили ряд уязвимостей, которые эксплуатировались киберпреступниками для получения доступа к платежным терминалам. Несмотря на предупреждения, этот вид вредоносного ПО до сих пор широко используется для взлома POS-девайсов.
Исследователям Fortinet удалось заполучить новый вариант Backoff, который выдает себя за медиапроигрыватель (mplayerc.exe). Ранее вирус маскировался под Java-компонент, прописывающий себя в разделы автозагрузки системного реестра. Модифицированная версия вредоноса получила название Backoff ROM. В отличие от предыдущих версий, для саморазмножения вирус использует функцию WinExec вместо CopyFileA. Для усложнения процесса анализа названия функций переводятся в хешированные значения, которые расшифровываются отдельной функцией. Вдобавок к этому, Backoff ROM содержит «черный список» из 29 процессов, которые игнорируются вредоносом. Похищенные данные платежных карт хранятся в зашифрованном файле locale.dat. Перед соединением с C&C-сервером вирус проверяет наличие файла, после чего расшифровывает его и пересылает через POST-запрос по порту 443. Трафик между сервером и вредоносом шифруется.
Интересно, что новая версия Backoff не может перехватывать нажатия клавиш. Тем не менее, исследователи полагают, что такое изменение носит временный характер, и функционал кейлоггера вернется во вредонос уже в ближайшем времени.
По материалам Security Lab
PLUSworld в соцсетях:
