Fortinet: PoS-троян Backoff стало труднее обнаружить и проанализировать

image

Теги: Fortinet, Backoff, PoS-троян

Для затруднения анализа вирус хеширует названия использующихся функций, а также игнорирует некоторые системные процессы.

Троян Backoff, использующийся для заражения PoS-устройств, стало сложнее обнаруживать и анализировать. Об этом сообщает исследователь Fortinet Хон Кэй Чань (Hong Kei Chan) в блоге компании.

Еще в августе представители Министерства внутренней безопасности и Компьютерной группы реагирования на чрезвычайные ситуации США предупреждали о существовании тяжелодетектируемого вредоносного ПО, нацеленного на PoS-устройства. Тогда специалисты ведомств обнаружили ряд уязвимостей, которые эксплуатировались киберпреступниками для получения доступа к платежным терминалам. Несмотря на предупреждения, этот вид вредоносного ПО до сих пор широко используется для взлома PoS-девайсов.

Исследователям Fortinet удалось заполучить новый вариант Backoff, который выдает себя за медиапроигрыватель (mplayerc.exe). Ранее вирус маскировался под Java-компонент, прописывающий себя в разделы автозагрузки системного реестра. Модифицированная версия вредоноса получила название Backoff ROM.

В отличие от предыдущих версий, для саморазмножения вирус использует функцию WinExec вместо CopyFileA. Для усложнения процесса анализа названия функций переводятся в хешированные значения, которые расшифровываются отдельной функцией. Вдобавок к этому, Backoff ROM содержит «черный список» из 29 процессов, которые игнорируются вредоносом.

Похищенные данные платежных карт хранятся в зашифрованном файле locale.dat. Перед соединением с C&C-сервером вирус проверяет наличие файла, после чего расшифровывает его и пересылает через POST-запрос по порту 443. Трафик между сервером и вредоносом шифруется.

Интересно, что новая версия Backoff не может перехватывать нажатия клавиш. Тем не менее, исследователи полагают, что такое изменение носит временный характер, и функционал кейлоггера вернется во вредонос уже в ближайшем времени.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.