Backoff, malware de punto de venta

Ciberdelincuentes usan herramientas públicas para localizar negocios que utilizan aplicaciones de escritorio remoto.

El CERT de los EEUU ha publicado una alerta de seguridad para advertir sobre el malware Backoff en puntos de venta. El documento fue desarrollado por el CERT en colaboración con el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC), el Servicio Secreto de los Estados Unidos (USSS), el Centro de Intercambio y Análisis de Información del Sector Financiero (FS-ISAC) y con Trustwave SpiderLabs.

La alerta refiere que investigaciones recientes revelaron que ciberdelincuentes están utilizando herramientas disponibles públicamente para localizar a las empresas que utilizan aplicaciones de escritorio remoto, que facilitan la conexión a una computadora desde una ubicación remota.

Los cibercriminales localizan aplicaciones como Remote Desktop de Microsoft, Apple Remote Desktop, Chrome Remote Desktop, Splashtop 2, Pulseway, y LogMeIn Join, y mediante ataque de fuerza bruta intentan acceder a la aplicación, vía la cuenta del administrador o de acceso privilegiado. De tener éxito, los atacantes distribuyen el malware de Punto de Venta (POS) y después extraen los datos de pago de los consumidores a través de una petición POST cifrada.

El malware ha sido identificado como “Backoff”, el cual se ha encontrado en varias investigaciones de violaciones de datos a puntos de venta. Las variantes del malware son bajas al momento de su descubrimiento y análisis, además de que no es detectado como malicioso por los motores antivirus totalmente actualizados en computadoras totalmente actualizadas.

La alerta establece que ataques similares se han observado en anteriores campañas de malware PoS y algunos estudios indican que el enfoque del Protocolo de Escritorio Remoto con ataques de fuerza bruta está en aumento.

Backoff es una familia de malware de Puntos de Venta que ha aparecido en al menos tres investigaciones forenses independientes. Los investigadores han identificado tres variantes principales, incluyendo 1.4, 1.55 (“backoff”, “goo”, “MAY”, “net”), y 1.56 (“LAST”). Estas variaciones se han visto ya en octubre de 2013 y siguen operando a partir de julio de 2014. Típicamente el malware consiste en las siguientes cuatro capacidades.

  • Raspar la memoria para datos de rastreo
  • Registro de las pulsaciones del teclado (keylogger)
  • Comunicación Comando y control (C2)
  • Inyección de código auxiliar malicioso en explorer.exe

Las excepciones son las versiones 1.4, que no incluye la funcionalidad de keylogger; y la 1.55 (“net”) que eliminó el componente de inyección explorer.exe.

El código auxiliar malicioso que se inyecta en explorer.exe es responsable de la persistencia en el caso de que el ejecutable malicioso deje de funcionar o sea forzado a parar. El malware es responsable de raspar la memoria de los procesos que se ejecutan en la máquina de la víctima y busca los datos de rastreo. El componente C2 es responsable de la carga de los datos descubiertos, la actualización del malware, la descarga/ejecución de más malware y la desinstalación del malware.

Un sistema PoS comprometido puede afectar a las empresas y a los consumidores al exponer los datos del cliente, tales como nombres, direcciones postales, números de tarjeta de crédito/débito, números de teléfono y direcciones de correo electrónico a los ciberdelincuentes. También pueden afectar a la marca y reputación del negocio, mientras que la información de los consumidores puede ser utilizada para compras fraudulentas o poner en riesgo las cuentas bancarias.

Es crítico salvaguardar la red corporativa y los servidores web para evitar cualquier exposición innecesaria para comprometer o mitigar cualquier daño que podría estar ocurriendo ahora.

Aunque al momento de la alerta las variantes de Backoff no son detectados en gran parte por los proveedores antivirus, poco después de su publicación las compañías antivirus comenzarán rápidamente a detectar las variantes existentes. Es importante mantener actualizado el antivirus.

La alerta comunica las recomendaciones para minimizar la posibilidad de un ataque y mitigar el riesgo de compromiso de los datos. Las recomendaciones son para el acceso al Remote Desktop, la seguridad de la red y la seguridad en el POS y en el registro de efectivo.

Deja un comentario