Backoff POS
Una cepa de malware de punto de venta llamada Backoff POS se consideró lo suficientemente amenazante como para ser objeto de un aviso publicado por el Departamento de Seguridad Nacional y el Servicio Secreto de EE. UU. La amenazante campaña que desplegó la carga útil continuó durante más de un año, según la advertencia de las agencias gubernamentales. El mismo aviso también reveló que siete proveedores de sistemas de punto de venta y vendedores habían confirmado que más de 1000 de sus clientes se vieron afectados por la amenaza de malware. Lo más probable es que surjan más víctimas del sector privado. Las entidades comprometidas pueden ser de todos los tamaños.
Backoff POS es bastante eficaz para extraer datos de pago confidenciales de las empresas. La amenaza utiliza una amplia gama de técnicas diferentes para obtener los detalles de pago del cliente o la información de la tarjeta de crédito. Puede realizar la eliminación de RAM, establecer registradores de pulsaciones e inyectar código en procesos legítimos que ya se ejecutan en el dispositivo infectado. Por ejemplo, una vez dentro del dispositivo de punto de venta violado, el Backoff POS inyecta código en el 'explorer.exe', lo que le permite extraer la memoria del dispositivo y recopilar números de tarjetas de crédito antes de que se cifren y envíen al pago. procesador. La amenaza de malware inicia un canal de puerta trasera a través del cual filtra los datos recopilados. La inyección de código también es responsable de iniciar el mecanismo de persistencia de Backoff POS que permite que la amenaza continúe con sus acciones nefastas en caso de que se detenga por la fuerza o se produzca un bloqueo. La infraestructura de Comando y Control (C2, C&C) de la campaña permite a los piratas informáticos no solo recibir los datos robados por el POS Backoff, sino también entregar actualizaciones del malware, indicarle que descargue y ejecute cargas útiles de malware adicionales, o borrarse a sí mismo si los criminales quieren borrar sus huellas.
Las organizaciones deben tomar las medidas necesarias para fortalecer sus defensas contra amenazas como Backoff. Uno de los métodos más efectivos es evitar el uso de contraseñas predeterminadas, débiles o populares para las credenciales de cuenta necesarias o los pasos de autenticación. De hecho, el vector de ataque inicial de la campaña Backoff a través de la carga útil obtenida es forzar las credenciales para una aplicación de administración o escritorio remoto.
