Backoff POS

Een soort Point-of-Sale-malware genaamd de Backoff POS werd als bedreigend genoeg beschouwd om het onderwerp te zijn van een advies dat werd gepubliceerd door het Department of Homeland Security en de Amerikaanse geheime dienst. De dreigende campagne waarbij de lading werd ingezet, duurde meer dan een jaar, aldus de waarschuwing van de overheidsinstanties. Uit hetzelfde advies bleek ook dat zeven aanbieders en verkopers van Point-of-Sale-systemen hadden bevestigd dat meer dan 1.000 van hun klanten getroffen werden door de malwarebedreiging. Extra slachtoffers zullen hoogstwaarschijnlijk uit de particuliere sector komen. De gecompromitteerde entiteiten kunnen van alle groottes zijn.

De Backoff POS is behoorlijk effectief in het exfiltreren van gevoelige betalingsgegevens van bedrijven. De dreiging maakt gebruik van een hele reeks verschillende technieken om betalingsgegevens van klanten of creditcardgegevens te verkrijgen. Het kan RAM-scrapping uitvoeren, keyloggers instellen en code injecteren in legitieme processen die al op het geïnfecteerde apparaat worden uitgevoerd. Als de Backoff POS zich bijvoorbeeld eenmaal in het geschonden Point-of-Sale-apparaat bevindt, injecteert het code in de 'explorer.exe', waardoor het het geheugen van het apparaat kan schrapen en creditcardnummers kan verzamelen voordat ze worden gecodeerd en naar de betaling worden verzonden processor. Een backdoor-kanaal wordt geïnitieerd door de malwarebedreiging waarmee het de verzamelde gegevens exfiltreert. De code-injectie is ook verantwoordelijk voor het initiëren van het persistentiemechanisme van de Backoff POS, waardoor de dreiging zijn snode acties kan voortzetten in het geval dat deze met geweld wordt gestopt of er een crash heeft plaatsgevonden. De Command-and-Control (C2, C&C) -infrastructuur voor de campagne stelt de hackers in staat om niet alleen de gegevens te ontvangen die door de Backoff POS zijn gestolen, maar ook om updates voor de malware te leveren, deze te vertellen om extra malware-payloads te downloaden en uit te voeren, of om zichzelf verwijderen als de criminelen hun sporen willen wissen.

Organisaties moeten de nodige stappen ondernemen om hun verdediging tegen bedreigingen zoals Backoff te versterken. Een van de meest effectieve methoden is om het gebruik van standaard, zwakke of populaire wachtwoorden voor de benodigde accountreferenties of authenticatiestappen te vermijden. In feite is de aanvankelijke aanvalsvector van de Backoff-campagne via de verkregen payload het brute kracht geven van de inloggegevens voor een externe desktop of beheertoepassing.