Investigadores descubrieron una nueva variante del malware de punto de venta Backoff, implementa nuevos trucos para que la detección y análisis sea más difícil.

Hong Kei Chan, investigador de Fortinet, publicó los hallazgos al analizar la muestra de malware que ha recibido el nombre ROM y es detectada como W32/Backoff.B!tr.spy, misma que se hace pasar por un archivo de instalación de un reproductor de medios.

"Backoff guarda una copia de sí mismo en la máquina infectada y crea varias entradas en el registro autorun para garantizar la persistencia. Ésta versión más reciente no es diferente, sin embargo en lugar de hacerse pasar por un componente de Java como las versiones anteriores, se hace pasar por un reproductor de medios con el nombre de archivo mplayerc.exe."

La nueva variante, ROM, también es capaz de procesar los datos de Track 1 y Track 2 de las tarjetas, como las versiones anteriores de Backoff, pero ha sido actualizado para aplicar un hash a los nombres de los procesos que están en las listas negras de los antivirus, de esta forma evita la detección por este medio. Otra característica de la nueva versión es el almacenamiento de la información robada de las tarjetas de crédito en el sistema local.

Otra técnica de evasión que implementa es la comunicación cifrada con su servidor Command and Control a través del puerto 443.

De acuerdo a Chan "La información robada de las tarjetas de crédito continúa siendo codificada con el algoritmo RC4 y base 64, pero el algoritmo RC4 fue modificado ligeramente. En la nueva versión, hay una ligera modificación en las cadenas concatenadas, en la imagen se puede ver que el bot concatena cuatro componentes: (1) una cadena con datos, (2) una cadena de siete caracteres generados aleatoriamente, (3) otra cadena con datos y (4) el nombre de usuario y el nombre del equipo."

Esta nueva variante de Backoff podría causar graves problemas si los equipos de Punto de Venta no se encuentran protegidos por un antivirus actualizado, es por eso que el Consejo de Estándares de Seguridad para la Industria de Pagos con Tarjeta (PCI SSC por sus siglas en inglés) publicó un boletín en el que urgía a los comercios a contactar a su proveedor de antivirus para asegurarse de que su solución de software detecte este malware.

Backoff infectó a 395 tiendas de la cadena Dairy Queen el mes pasado en estados unidos y se cree que éste malware estuvo involucrado en los ataques que afectaron a los clientes de Target y SUPERVALU. De acuerdo a estimaciones del Servicio Secreto de Estados Unidos, alrededor de mil negocios en ese país fueron infectados por este programa malicioso.