Backoff POS

Un ceppo di malware point-of-sale chiamato Backoff POS è stato ritenuto sufficientemente minaccioso da essere oggetto di un avviso pubblicato dal Dipartimento per la sicurezza interna e dai servizi segreti statunitensi. La minacciosa campagna che ha dispiegato il carico utile è proseguita per oltre un anno, secondo l'allarme delle agenzie governative. Lo stesso avviso ha anche rivelato che sette fornitori e fornitori di sistemi di punti vendita avevano confermato che oltre 1.000 dei loro clienti erano stati colpiti dalla minaccia malware. Probabilmente altre vittime emergeranno dal settore privato. Le entità compromesse potrebbero essere di tutte le dimensioni.

Il POS di backoff è abbastanza efficace nell'esfiltrare dati di pagamento sensibili dalle aziende. La minaccia utilizza un'intera gamma di tecniche diverse per ottenere i dettagli di pagamento del cliente o le informazioni sulla carta di credito. Può eseguire la rottamazione della RAM, stabilire keylogger e iniettare codice in processi legittimi già in esecuzione sul dispositivo infetto. Ad esempio, una volta all'interno del dispositivo Point-of-Sale violato, il POS Backoff inietta il codice in "explorer.exe", consentendogli di raschiare la memoria del dispositivo e raccogliere i numeri di carta di credito prima che vengano crittografati e inviati al pagamento processore. Un canale backdoor viene avviato dalla minaccia malware attraverso la quale esfiltra i dati raccolti. L'iniezione di codice è anche responsabile dell'avvio del meccanismo di persistenza del POS di backoff che consente alla minaccia di continuare le sue azioni nefaste nel caso in cui venga interrotta con forza o si sia verificato un arresto anomalo. L'infrastruttura Command-and-Control (C2, C&C) per la campagna consente agli hacker non solo di ricevere i dati rubati dal POS Backoff, ma anche di fornire aggiornamenti al malware, dirgli di scaricare ed eseguire payload malware aggiuntivi o di si cancella se i criminali vogliono cancellare le loro tracce.

Le organizzazioni dovrebbero adottare le misure necessarie per rafforzare le proprie difese contro minacce come Backoff. Uno dei metodi più efficaci consiste nell'evitare di utilizzare password predefinite, deboli o diffuse per le credenziali dell'account necessarie o per i passaggi di autenticazione. In effetti, il vettore di attacco iniziale della campagna Backoff attraverso il payload ottenuto all'accesso è quello di forzare brutemente le credenziali per un desktop remoto o un'applicazione di amministrazione.