ROM,نسخه‌ی جدید BackOff بدافزار دستگاه‌های POS

این بدافزار در نسخه‌های قبلی برای فرار از شناسایی یک فهرست سیاه از نام‌های فرآیند داشت، اما در نسخه‌ی جدید یک جدول که نام‌های فرآیندی به صورت پویا در آن هَش می‌شود وجود دارد.

اولین نسخه از بدافزار پایانه‌های فروش Backoff اواسط مرداد‌ ماه سال جاری کشف شد و کارشناسان امنیتی هشدار دادند که این بدافزار قابلیت‌های زیادی برای سرقت اطلاعات دارد.

به گزارش تکنــــــــــــازدانلود: به نقل از asis , نسخه‌ی جدید این بدافزار که شرکت امنیتی Fortinet آن را کشف کرده است مانند نسخه‌های قبلی از در بدنه‌ی بدافزار از شماره‌ی نسخه استفاده نمی‌کند، و فقط از یک نام به صورت ROM به عنوان شناسه‌ی نسخه استفاده می‌کند. این نسخه شباهت‌های زیادی به نسخه‌های قبلی این بدافزار دارد، اما تغییرات اصلی که در این بدافزار صورت گرفته، با هدف سخت‌تر کردن شناسایی بدافزار و سپس دشوار کردن عملیات تحلیل و بررسی بوده است.

برخلاف نسخه‌های قبلی ROM تلاش نمی‌کند خود را به عنوان یک مولفه‌ی جاوا در رایانه‌‌ی متصل به دستگاه PoS نشان دهد، بلکه در قالب نرم‌افزاری به نام mplaterc.exe اجرا می‌شود و پس از آلوده کردن سامانه یک API ویندوزی به نام WinExec را صدا می‌زند که این API وظیفه دارد نام‌های این بدافزار را با مقادیر Hash جایگزین کند که فرآیند تحلیل را دشوارتر می‌کند.

این بدافزار در نسخه‌های قبلی برای فرار از شناسایی یک فهرست سیاه از نام‌های فرآیند داشت، اما در نسخه‌ی جدید یک جدول که نام‌های فرآیندی به صورت پویا در آن هَش می‌شود وجود دارد.

علاوه بر این، بدافزار اطلاعات کارت‌های اعتباری که به سرقت می‌برد را با دو تابع رمز‌گذاری می‌کند و به صورت محلی در سامانه‌ی آلوده ذخیره می‌کند، سپس از طریق ارتباطات رمز‌شده در پورت ۴۴۳ با کارگزار فرمان‌دهی و کنترل ارتباط برقرار می‌کنند.

این بدافزار در ماه گذشته موفق شده بود ۴۰۰ قربانی جدید را گرفتار کند و با توجه به گستردگی استفاده از دستگاه‌های PoS، احتمال آلودگی در مقیاس بسیار بزرگ وجود دارد. Backoff دارای قابلیت‌های زیادی از جمله ضبط کلید‌های فشرده‌شده در دستگاه قربانی، سرقت و رمزگذاری اطلاعات کارت‌های اعتباری و تزریق به حافظه می‌باشد.

اطلاعات جزیی‌تر از تحلیل این بدافزار از وب‌گاه Fortinet در دسترس است.