Backoff POS

Um tipo de malware de Ponto de Venda chamado Backoff POS foi considerado ameaçador o suficiente para ser o assunto de um comunicado publicado pelo Departamento de Segurança Interna e pelo Serviço Secreto dos EUA. A campanha ameaçadora que desdobrou a carga continuou por mais de um ano, de acordo com o alerta dos órgãos governamentais. O mesmo comunicado também revelou que sete fornecedores e provedores de sistemas de ponto de venda confirmaram que mais de 1.000 de seus clientes foram afetados pela ameaça de malware. Provavelmente, outras vítimas virão do setor privado. As entidades comprometidas podem ser de todos os tamanhos.

O Backoff POS é bastante eficaz na extração de dados confidenciais de pagamento das empresas. A ameaça usa uma ampla gama de técnicas diferentes para obter detalhes de pagamento do cliente ou informações de cartão de crédito. Ele pode realizar o scrapping de RAM, estabelecer keyloggers e injetar código em processos legítimos já em execução no dispositivo infectado. Por exemplo, uma vez dentro do dispositivo de ponto de venda violado, o Backoff POS injeta código no 'explorer.exe', permitindo que ele raspe a memória do dispositivo e colete números de cartão de crédito antes de serem criptografados e enviados para o pagamento processador. Um canal de backdoor é iniciado pela ameaça de malware, por meio da qual ele exfila os dados coletados. A injeção de código também é responsável por iniciar o mecanismo de persistência do Backoff POS que permite que a ameaça continue suas ações nefastas no caso de ser interrompida à força ou ocorrer um travamento. A infraestrutura de Comando e Controle (C2, C&C) para a campanha permite que os hackers não apenas recebam os dados roubados pelo Backoff POS, mas também forneçam atualizações para o malware, instrua-o a baixar e executar cargas adicionais de malware ou exclua a si mesmo se os criminosos quiserem limpar seus rastros.

As organizações devem tomar as medidas necessárias para fortalecer suas defesas contra ameaças como o Backoff. Um dos métodos mais eficazes é evitar o uso de senhas padrão, fracas ou populares para credenciais de conta ou etapas de autenticação necessárias. De fato, o vetor de ataque inicial da campanha de Backoff por meio da carga útil obtida de acesso é a força bruta das credenciais para um desktop remoto ou aplicativo de administração.