курс цб на 19.07:
62.9006
73.1345
курс криптовалют:
7379.8 $
479.36 $

POS-троян Backoff стало труднее обнаружить и проанализировать

7 ноября 2014 14:15 Количество просмотров99 просмотров

Еще в августе представители Министерства внутренней безопасности и Компьютерной группы реагирования на чрезвычайные ситуации США предупреждали о существовании тяжелодетектируемого вредоносного ПО, нацеленного на POS-устройства. Тогда специалисты ведомств обнаружили ряд уязвимостей, которые эксплуатировались киберпреступниками для получения доступа к платежным терминалам. Несмотря на предупреждения, этот вид вредоносного ПО до сих пор широко используется для взлома POS-девайсов. 

Исследователям Fortinet удалось заполучить новый вариант Backoff, который выдает себя за медиапроигрыватель (mplayerc.exe). Ранее вирус маскировался под Java-компонент, прописывающий себя в разделы автозагрузки системного реестра. Модифицированная версия вредоноса получила название Backoff ROM. В отличие от предыдущих версий, для саморазмножения вирус использует функцию WinExec вместо CopyFileA. Для усложнения процесса анализа названия функций переводятся в хешированные значения, которые расшифровываются отдельной функцией. Вдобавок к этому, Backoff ROM содержит «черный список» из 29 процессов, которые игнорируются вредоносом. Похищенные данные платежных карт хранятся в зашифрованном файле locale.dat. Перед соединением с C&C-сервером вирус проверяет наличие файла, после чего расшифровывает его и пересылает через POST-запрос по порту 443. Трафик между сервером и вредоносом шифруется. 
Интересно, что новая версия Backoff не может перехватывать нажатия клавиш. Тем не менее, исследователи полагают, что такое изменение носит временный характер, и функционал кейлоггера вернется во вредонос уже в ближайшем времени. 
По материалам Security Lab



В рубриках:
Безопасность
Лента новостей
Безопасность