Backoff POS

En stamme af Point-of-Sale-malware kaldet Backoff POS blev anset for at være truende nok til at være genstand for en rådgivning offentliggjort af Department of Homeland Security og US Secret Service. Den truende kampagne, der anvendte nyttelasten, fortsatte i over et år ifølge advarslen fra regeringsorganerne. Den samme rådgivning afslørede også, at syv Point-of-Sale-systemudbydere og -leverandører havde bekræftet, at mere end 1.000 af deres kunder var påvirket af malware-truslen. Yderligere ofre vil højst sandsynligt komme ud af den private sektor. De kompromitterede enheder kan være af alle størrelser.

Backoff POS er ret effektiv til at exfiltrere følsomme betalingsdata fra virksomheder. Truslen bruger en hel række forskellige teknikker for at få kundebetalingsoplysninger eller kreditkortoplysninger. Det kan udføre RAM-ophugning, etablere keyloggers og injicere kode i legitime processer, der allerede kører på den inficerede enhed. For eksempel, når Backoff POS en gang inden i den brudte salgssted enhed indsætter kode i 'explorer.exe', så den kan skrabe enhedens hukommelse og høste kreditkortnumre, før de krypteres og sendes til betalingen processor. En bagdørkanal initieres af malware-truslen, gennem hvilken den exfiltrerer de indsamlede data. Kodeindsprøjtningen er også ansvarlig for at igangsætte Backoff POS's vedholdenhedsmekanisme, der gør det muligt for truslen at fortsætte sine onde handlinger i tilfælde af, at den stoppes kraftigt, eller hvis et crash har fundet sted. Command-and-Control (C2, C&C) infrastrukturen til kampagnen gør det muligt for hackere ikke kun at modtage data stjålet af Backoff POS, men også at levere opdateringer til malware, fortælle det at downloade og udføre yderligere malware-nyttelast eller til slette sig selv, hvis de kriminelle vil tørre deres spor.

Organisationer bør tage de nødvendige skridt til at styrke deres forsvar mod trusler som Backoff. En af de mest effektive metoder er at undgå at bruge standard-, svage eller populære adgangskoder til nødvendige kontooplysninger eller godkendelsestrin. Faktisk er den første angrebsvektor i Backoff-kampagnen gennem nyttelasten fået adgang til at tvinge legitimationsoplysningerne til et eksternt skrivebord eller en administrationsapplikation.