این بدافزار در نسخههای قبلی برای فرار از شناسایی یک فهرست سیاه از نامهای فرآیند داشت، اما در نسخهی جدید یک جدول که نامهای فرآیندی به صورت پویا در آن هَش میشود وجود دارد.
اولین نسخه از بدافزار پایانههای فروش Backoff اواسط مرداد ماه سال جاری کشف شد و کارشناسان امنیتی هشدار دادند که این بدافزار قابلیتهای زیادی برای سرقت اطلاعات دارد.
به گزارش تکنــــــــــــازدانلود: به نقل از asis , نسخهی جدید این بدافزار که شرکت امنیتی Fortinet آن را کشف کرده است مانند نسخههای قبلی از در بدنهی بدافزار از شمارهی نسخه استفاده نمیکند، و فقط از یک نام به صورت ROM به عنوان شناسهی نسخه استفاده میکند. این نسخه شباهتهای زیادی به نسخههای قبلی این بدافزار دارد، اما تغییرات اصلی که در این بدافزار صورت گرفته، با هدف سختتر کردن شناسایی بدافزار و سپس دشوار کردن عملیات تحلیل و بررسی بوده است.
برخلاف نسخههای قبلی ROM تلاش نمیکند خود را به عنوان یک مولفهی جاوا در رایانهی متصل به دستگاه PoS نشان دهد، بلکه در قالب نرمافزاری به نام mplaterc.exe اجرا میشود و پس از آلوده کردن سامانه یک API ویندوزی به نام WinExec را صدا میزند که این API وظیفه دارد نامهای این بدافزار را با مقادیر Hash جایگزین کند که فرآیند تحلیل را دشوارتر میکند.
این بدافزار در نسخههای قبلی برای فرار از شناسایی یک فهرست سیاه از نامهای فرآیند داشت، اما در نسخهی جدید یک جدول که نامهای فرآیندی به صورت پویا در آن هَش میشود وجود دارد.
علاوه بر این، بدافزار اطلاعات کارتهای اعتباری که به سرقت میبرد را با دو تابع رمزگذاری میکند و به صورت محلی در سامانهی آلوده ذخیره میکند، سپس از طریق ارتباطات رمزشده در پورت ۴۴۳ با کارگزار فرماندهی و کنترل ارتباط برقرار میکنند.
این بدافزار در ماه گذشته موفق شده بود ۴۰۰ قربانی جدید را گرفتار کند و با توجه به گستردگی استفاده از دستگاههای PoS، احتمال آلودگی در مقیاس بسیار بزرگ وجود دارد. Backoff دارای قابلیتهای زیادی از جمله ضبط کلیدهای فشردهشده در دستگاه قربانی، سرقت و رمزگذاری اطلاعات کارتهای اعتباری و تزریق به حافظه میباشد.
اطلاعات جزییتر از تحلیل این بدافزار از وبگاه Fortinet در دسترس است.