ID: IRCNE2014082283
Date: 2014-08-09

According to “ITPro”, Yahoo is to follow Google in rolling out end-to-end encryption for users of its email service in a bid to keep users’ correspondence private.
Announcing the move at the Black Hat security conference in Las Vegas, Yahoo's chief security officer Alex Stamos said that, from the Autumn, it would be rolling out PGP encryption to users.
This will be offered through a modified version of technology used by Google to secure its Gmail service. It will be enabled via a browser plug-in.
A few months ago, Google also announced plans to offer a Chrome browser extension to allow its users to encrypt emails. Yahoo’s encryption will be compatible with that of Google’s.
Two users with the plug-in enabled will be able to send each other emails with the data encrypted, making it unreadable to anyone but the sender and recipient. While it’s been possible to encrypt emails for a number of years, such technology has been beyond the capabilities of most people. The plug-ins aim to simplify this process.
While the subject line won’t be encrypted, the rest of the main body of content will. Such encryption means that neither Yahoo nor Google would then be able to scan through the content in order to serve up matching advertising. Stamos, however, predicted there would be no adverse impact on revenue by introducing the measure.
The firm has also updated its mobile email apps for the iPhone and iPad. In a tweet, Stamos said this mobile app will natively run the encryption found in the browser plug-in.
The updated apps will also enhance search functionality, making it easier for users to find people and messages they require via its Smart Search Suggestions.
Android versions of the email app are expected in the coming weeks.

Number: IRCNE2014082284
Date: 2014-08-09

According to “computerworld”, Security researchers demonstrated Thursday flaws that can allow hackers to take over mobile point-of-sale (mPOS) devices from different manufacturers by inserting rogue cards into them.
Despite a patch being available since April, some devices remain vulnerable.
Jon Butler, the head of research at MWR InfoSecurity and one of his colleagues who prefers to be known only as Nils, have investigated six of the most popular mPOS devices available on the market that support the EMV (Chip-and-PIN) standard, they said at the Black Hat security conference in Las Vegas.
These devices have a small screen, a smart card reader and a PIN input pad. They run a Linux-based OS and communicate via Bluetooth with mobile payment apps installed on smart phones.
The MWR researchers found that despite looking different on the outside, 75 percent of the devices they tested were based on the same underlying platform.
In some devices they found vulnerabilities in the firmware update mechanism that allowed them to execute commands as root. They also found a stack-based buffer overflow vulnerability in the certified EMV parsing library that allowed them to take complete control over all devices using a specially programmed smart card.
To demonstrate that they can gain complete control over the screen and input pad of such a device, the researchers used a rogue card to install and run a game similar to Flappy Bird on one of them.
In a practical attack scenario, a fraudster could go into a store that uses such devices, claim to buy something, input his rogue card into a device and compromise it with code that would capture the card details and PINs of customers who later use it, the researchers said.
Despite most of the affected devices having remote firmware update capabilities, some vendors have not yet released updates containing the patched EMV library.
The researchers have not yet fully investigated all attack vectors, but they believe it could also be possible to compromise mPOS devices from a smart phone infected with malware.
Despite the issues found, Butler thinks that mobile POS devices like the ones his team tested have the potential to be more secure than traditional POS devices.

شماره: IRCNE2014082280
تاريخ: 93/05/16

اخيراً يك شركت امنيتي كشف كرده است كه باند خلافكار روسي با نام close-knit اقدام به دزديدن حدود 1.2 ميليارد نام كاربري و كلمه عبور اينترنتي كرده است كه بزرگترين دزدي تاريخ در اين زمينه به حساب مي آيد. نكته قابل توجه در رابطه با اين موضوع، آن است كه كار اين گروه سرقت اطلاعات حساب هاي بانكي كاربران نيست بلكه آنها از طريق ارسال اسپم محصولات ساختگي مانند قرص هاي كاهش وزن به ايميل هاي دزديده شده كسب درآمد مي كنند.
اين شركت امنيتي در ميلواكي با نام Hold Security، به دليل توافقات عدم افشا و جلوگيري از سوء استفاده گسترده از آسيب پذيري هاي موجود در آن سايت ها، امكان انتشار وب سايت هايي را كه مورد هدف قرار گرفته اند را ندارد. اطلاعات بدست آمده نشان مي دهد كه حساب هاي كاربري از حدود 420 هزار سايت جمع آوري شده است ولي ارائه دهندگان اصلي سرويس هاي ايميل در دنيا، در اين ليست ديده نمي شوند.
اطلاعات احراز هويت دزديده شده شامل آدرس ايميل و پسورد است. كارشناسان اين شركت معتقدند كه اين باند با هك كردن ايميل ها و حساب هاي كاربري شبكه هاي اجتماعي،ايميل دوستان و فاميل شما را مورد هدف قرار داده و تبليغات محصولات ساختگي را براي آنها ارسال مي نمايد. اين بدان معناست كه درصورتي كه از ايميل شما يا حساب هاي شبكه اجتماعي شما، پيام هاي عجيب و غريب ارسال شده است، ممكن است شما نيز هك شده باشيد.

شماره: IRCNE2014082274
تاريخ: 93/05/14

گروه امداد و امنيت كامپيوتري وزارت امنيت داخلي ايالات متحده (US-CERT)، به همراه Trustwave SpiderLabs، FS-ISAC و سرويس پليس مخفي ايالات متحده، اخيراً هشداري در مورد يك بدافزار جديد به نام Backoff منتشر كرده‌اند كه به طور خاص سيستم‌هاي كارت‌خوان را هدف قرار مي‌دهد.
بر اساس راهنمايي امنيتي US-CERT، مهاجمان در حال انجام حملات brute force هستند تا بدينوسيله به راهكارهاي اتصال از راه دور مانند Microsoft Remote Desktop، Apple Remote Desktop، Chrome Remote Desktop، Splashtop، Pulseway و Join.meوارد شوند و سپس از اين راهكارها براي آلوده كردن سيستم‌هاي كارت‌خوان با بدافزار Backoff استفاده مي‌كنند.
به گفته اين راهنمايي امنيتي، اين بدافزار نخستين بار در اكتبر 2013 مشاهده شد. در زمان كشف و تحليل، نرخ تشخيص ويرايش‌هاي مختلف اين بدافزار در آنتي‌ويروس‌ها تقريباً صفر بود. اين بدان معناست كه آنتي‌ويروس‌هاي كاملاً به‌روز بر روي سيستم‌هاي كاملاً اصلاح شده قادر به شناسايي اين بدافزار به عنوان يك برنامه مخرب نبودند.
هنگامي كه Backoff نصب مي‌گردد، حافظه را از داده‌هاي مربوط به رديابي خود پاك مي‌كند، ضربات صفحه كليد را ضبط مي‌كند، با سرور دستور و كنترل براي آپلود كردن داده‌هاي سرقت شده و دانلود كردن بدافزارهاي ديگر ارتباط برقرار مي‌كند، و يك كد مخرب به explorer.exe تزريق مي‌نمايد. اين كد مخرب درصورتي‌كه بدافزار دچار اختلال شده يا كار آن متوقف گردد، مسئول تلاش براي راه‌اندازي مجدد آن است.
به گفته يك محقق ارشد امنيتي در شركت امنيتي Malwarebytes، بدافزار كارت‌خوان Backoff از اجزاي مختلفي تشكيل شده است كه چندان پيچيده نيستند، ولي اين بدافزار سعي مي‌كند كه خود را بر روي سيستم قرباني پنهان نمايد و همچنين درصورتي‌كه دستگاه مجدداً راه‌اندازي شود، به حيات خود ادامه مي‌دهد.
هشدار US-CERT تصريح مي‌كند كه يك كارت‌خوان آلوده مي‌تواند هم صاحب كسب و كار و هم مشتري را به دردسر بيندازد. در مورد مشتري داده‌هايي مانند نام، آدرس ايميل، شماره كارت اعتباري، شماره تلفن و آدرس ايميل افشا مي‌گردد.
مدير تهديدات هوشمند شركت امنيتي Trustwave اظهار داشت كه بدافزار Backoff تا كنون نزديك به 600 كسب و كار را در سراسر ايالات متحده هدف قرار داده و به آنها نفوذ كرده است.
به گزارش نيويورك تايمز، اين بدافزار پشت بسياري از نشت‌هاي اطلاعاتي اخير از جمله Target، P.F. Chang's، Neiman Marcus، Sally Beauty Supply و Goodwill Industries قرار داشته است.
فهرست مفصلي از اقدامات براي كاهش خطرات اين بدافزار، از احراز هويت دو فاكتوري براي اتصال از راه دور گرفته تا جداسازي شبكه‌هاي پردازش پرداخت از ساير شبكه‌ها، منتشر شده است.
يك مشاور امنيتي Neohapsis اظهار كرد كه سازمان‌هايي كه مي‌خواهند خطر مورد سوء استفاده واقع شدن توسط بدافزار Backoff را كاهش دهند بايد كارمندان خود را آموزش داده و از روش مقبولي براي اتصال از راه دور استفاده كنند. شركت‌ها همچنين بايد عمليات پويش شبكه را انجام دهند تا ببينند كه آيا پورت‌هاي خاصي براي مهيا ساختن اتصال از راه دور فعال شده است يا خير.

شماره: IRCNE2014082275
تاريخ: 93/05/14

موزيلا اعلام كرد كه به علت يك خطاي پايگاه داده، آدرس‌هاي ايميل و كلمات عبور رمز شده كاربران ثبت شده در وب‌سايت توسعه دهندگان موزيلا، براي مدت حدود يك ماه نشت يافته و در معرض دسترس بود.
به گفته دو مدير در اين شركت، آدرس‌هاي ايميل متعلق به 76 هزار كاربر شبكه توسعه دهندگان موزيلا (MDN) به همراه حدود 4000 كلمه عبور رمز شده افشا شده است. موزيلا در حال اطلاع‌رساني به افرادي است كه تحت تأثير اين نشت اطلاعاتي قرار گرفته‌اند.
هيچ فعاليت خرابكارانه‌اي برروي سرور تحت تأثير اين مسأله مشاهده نشده است، ولي اين بدان معنا نيست كه اين داده‌ها مورد دسترسي قرار نگرفته‌اند.
حدود 12 روز پيش يك توسعه دهنده وب كشف كرد كه يك پردازه امن‌سازي داده‌ها بر روي پايگاه داده‌اي كه MDN را اجرا مي‌كند، كار نمي‌كند. اين نشت اطلاعاتي حدود 23 ژوئن آغاز شده است و حدوداً به مدت يك ماه ادامه داشته است.
به گفته موزيلا، به محض آگاهي از اين موضوع فايل مشكل‌دار پايگاه داده از روي سرور حذف شد و پردازه‌اي كه اين مشكل را ايجاد مي‌كند غيرفعال گرديد تا از نشت‌هاي بيشتر جلوگيري شود.
كلمات عبوري كه لو رفته‌اند همگي رمز شده و salty بودند كه اين مسأله باعث مي‌شود بازيابي اين كلمات عبور به شكل اصلي آنها بسيار سخت باشد. اما حتي اگر اين كلمات عبور رمزگشايي گردند، به تنهايي نمي‌توانند براي احراز هويت با وب‌سايت امروزي MDN به كار روند.
از آنجايي كه ممكن است برخي افراد از كلمه عبور MDN خود براي ساير وب‌سايت‌ها نيز استفاده كنند، به كاربران توصيه شده است كه كلمه عبور خود را تغيير دهند.
موزيلا از وقوع اين خطا عميقاً اظهار تأسف كرده است. اين شركت تأكيد كرد كه علاوه بر اطلاع‌رساني به كاربران و توصيه راهكارهاي كوتاه‌مدت، در حال بررسي پردازه‌ها و قواعد موجود است كه ممكن است لازم باشد براي كاهش احتمال وقوع چنين حوادثي بهبود يابند.

شماره: IRCNE2014082276
تاريخ: 93/05/14

شركت سيسكو اعلام كرد كه يك حفره امنيتي در محصولات شبكه اي اين شركت وجود دارد كه به مهاجمان اجازه مي دهد تا ترافيك شبكه را ردگيري نمايند. اين شركت به مديران شبكه توصيه كرد تا اصلاحيه امنيتي جديد را بر روي نرم افزارهاي اين محصولات اعمال نمايند.
اين مساله پياده سازي پروتكل مسيريابي OSPF و پايگاه داده LSA را تحت تاثير قرار مي دهد. اين پروتكل براي تصميم گيري در خصوص يافتن كوتاهترين مسير در يك AS استفاده مي شود.
پروتكل OSPF در بسياري از شبكه هاي بزرگ مورد استفاه قرار مي گيرد. اين پروتكل اطلاعات مسيرهاي مختلف را از مسيرياب هاي در دسترس جمع آوري مي كند و در يك پايگاه داده نگهداري مي كند و نقشه اي از توپولوژي شبكه را ترسيم كرده تا براي يافتن كوتاهترين و بهترين مسير IP از آن استفاده نمايد.
آسيب پذيري موجود در محصولات سيسكو مي تواند به يك مهاجم تاييد صلاحيت نشده اجازه دهد تا به جدول مسيريابي دامنهOSPF Autonomous System (AS)دسترسي كامل يابد و ترافيك ها را ردگيري كند.
سوء استفاده از اين آسيب پذيري نيازي به تاييد هويت ندارد و مي تواند از راه دور و توسط ارسال بسته هاي نوع اول OSPF LSA دستكاري شده خاص به يك دستگاه آسيب پذير انجام گيرد.
اين آسيب پذيري، دستگاه هاي شبكه در حال اجراي سيستم عامل هاي سيسكو نسخه هاي IOS، IOS-XE، NX-OS را در صورتيكه براي عمليات OSPF پيكربندي شده باشند، تحت تاثير قرار مي دهد. هم چنين نرم افزارهاي در حال اجرا بر روي Cisco Adaptive Security Appliance (ASA)، Cisco ASA Service Module (ASA-SM)، Cisco Pix Firewall، Cisco Firewall Services Module (FWSM) و Cisco ASR 5000 را تحت تاثير قرار مي دهد.

شماره: IRCNE2014082277
تاريخ: 93/05/14

محققان امنيتي هشدار دادند كه يك برنامه بدافزاري جديد به نام Poweliks سعي مي‌كند با اجراي كامل از روي رجيستري سيستم و بدون ايجاد فايلي بر روي سيستم، از شناسايي و تحليل خود توسط متخصصان امنيتي جلوگيري نمايد.
ايده بدافزار «بدون فايل» كه صرفاً در حافظه سيستم وجود دارد جديد نيست، ولي چنين تهديداتي نادر هستند، چرا كه نوعاً در راه‌اندازي‌هاي مجدد سيستم و پس از پاك شدن حافظه، نمي‌توانند به حيات خود ادامه دهند. اما در مورد Poweliks اين مسأله صادق نيست. به گفته محققان بدافزارهاي شركت امنيتي G Data Software، اين بدافزار از روش جديدي براي بقاي خود استفاده مي‌كند و در عين حال هيچ فايلي نيز ايجاد نمي‌كند.
هنگامي كه Poweliks سيستمي را آلوده مي‌كند، يك مدخل در رجيستري ايجاد مي‌نمايد كه فايل ويندوزي معتبر rundll32.exe و سپس كد جاوا اسكريپت رمز شده‌اي را اجرا مي‌كند. اين كار پردازه‌اي را راه‌اندازي مي‌كند.
كد جاوا اسكريپت مزبور بررسي مي‌كند كه آيا Windows PowerShell كه يك پوسته خط فرمان و محيط اسكريپتينگ است بر روي سيستم وجود دارد يا خير. درصورتي‌كه اين پوسته وجود نداشته باشد، آن را دانلود كرده و نصب مي‌نمايد و سپس كدهاي ديگري را كه در حقيقت يك اسكريپت PoweShell است رمزگشايي مي‌كند.
اين اسكريپت PowerShell با استفاده از ترفندي براي دور زدن محافظ پيش‌فرض ويندوز كه از اجراي اسكريپت‌هاي ناشناس PowerShell بدون تأييد كاربر جلوگيري مي‌كند، اجرا مي‌گردد. سپس اين اسكريپت Shellcode را كه يك DLL را مستقيماً به حافظه سيستم تزريق مي‌كند، رمزگشايي كرده و اجرا مي‌نمايد.
هنگامي كه اين DLL تقلبي در حال اجرا در حافظه است، به دو آدرس آي‌پي در قزاقستان متصل شده و دستورات را دريافت مي‌كند. اين بدافزار مي‌تواند بسته به تمايل مهاجم براي دانلود و نصب ساير تهديدات به كار رود.
در طول اين پروسه، از زمان اجراي كد جاوا اسكريپت تا تزريق نهايي DLL، اين بدافزار هيچ فايل خرابكاري بر روي هارد ديسك ايجاد نمي‌كند كه اين مسأله، شناسايي آن را براي آنتي‌ويروس‌ها مشكل مي‌سازد.
علاوه بر اينها، نام كليد رجيستري ايجاد شده توسط Poweliks يك كاراكتر غير اسكي است. اين ترفندي است كه از نمايش اين مدخل رجيستري توسط regedit (ابزار ويرايش رجيستري ويندوز) و احتمالاً ساير برنامه‌ها جلوگيري مي‌كند و به اين ترتيب شناسايي دستي آلودگي را براي كاربر و نيز تحليلگران بدافزار مشكل مي‌سازد.
برخي ويرايش‌هاي Poweliks ازطريق اسناد خرابكار Word كه به هرزنامه‌ها پيوست شده بودند و وانمود مي‌كردند كه از پست كانادا يا پست ايالات متحده ارسال شده‌اند، منتشر گشته‌اند. اين اسناد خرابكار از يك آسيب‌پذيري اجراي كد از راه دور در آفيس 2003، 207 و 2010 كه در آوريل 2012 اصلاح شده بود استفاده مي‌كردند. البته با توجه به ساير گزارش‌ها، اين بدافزار همچنين از طريق حملات drive-by download كه از نقايص وب استفاده مي‌كنند نيز منتشر شده است.
آنتي‌ويروس‌ها براي مسدود كردن بدافزاري مانند Powliks بايد يا فايل Word اوليه را پيش از اجرا و ترجيحاً پيش از رسيدن به صندوق پستي كاربر توقيف نمايند يا اينكه در خط بعدي دفاعي، پس از اجراي فايل قادر به شناسايي كد سوء استفاده كننده از آسيب‌پذيري نرم‌افزار باشند، و يا در نهايت، رفتار غيرمعمول را تشخيص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.

شماره: IRCNE2014082278
تاريخ: 93/05/14

در آخرين به روز رساني هاي نرم افزار سامبا، يك آسيب پذيري بحراني برطرف شده است كه مي تواند به مهاجم اجازه دهد تا كنترل ميزباني كه در حال اجراي نسخه آسيب پذيري از Samba nmbd NetBIOS است را در اختيار بگيرد.
سامبا يك پياده سازي منبع باز از پروتكل اشتراك گذاري فايل شبكه اي SMB/CIFS است. SMB/CIFS معروف ترين پروتكل استفاده شده براي اشتراك گذاري فايل بر روي شبكه هاي مايكروسافت ويندوز است و سامبا نسخه غير ويندوزي اين پروتكل براي شبكه هاي غير ويندوزي مي باشد. Nmd يك مولفه سرور است كه به درخواست هاي NetBIOS بر روي شبكه IP پاسخ مي دهد.
به منظور سوء استفاده از اين آسيب پذيري، يك سيستم مخرب بر روي شبكه مي تواند بسته هايي را ارسال كند كه ممكن است پشته نام سرويس هاي nmbd NetBIOS هدف را بازنويسي كند. هم چنين اين امكان وجود دارد كه از اين روش به گونه اي استفاده شود كه يك آسيب پذيري اجراي كد از راه دور ايجاد شود.
نسخه هاي جديد سامبا شامل 4.1.11 و 4.0.21 مي باشد. هم چنين اصلاحيه هايي براي سامبا نسخه هاي 4.1.10 و 4.0.20 وجود دارد. اين نسخه ها به منظور اصلاح تعداد زيادي مشكلات غيرامنيتي منتشر شده اند.

شماره:IRCNE2014082279
تاريخ: 93/5/14

No-IP يكي از ارائه دهندگان سرويس DNS پويا است كه بصورت رايگان براي ثبت زير دامنه بر روي نام هاي مشهور از قبيل servebeer.com و servepics.com استفاده مي گردد. مجرمان سايبري از اين روش براي ثبت hostname هايي كه به راحتي به روز رساني مي شوند جهت اجرا و كنترل بدافزار استفاده مي كنند. مايكروسافت در مقابله با NO-IP، تعداد 22 دامنه را توقيف نمود. همچنين يك پرونده سايبري بر عليه Mohamed Benabdellah و Naser Al Mutairi و شركت Vitalwerks Internet Solutions، به دليل نقش آنها در ايجاد، كنترل و كمك به آلوده سازي ميليون ها كامپيوتر به نرم افزارهاي مخرب آسيب رسان به مايكروسافت، تشكيل داد.
نكته جالب توجه اين است كه مايكروسافت به دو گروه ويژه از بدافزارها با نام هاي Bladabindi (NJrat) و Jenxcus (NJw0rm) كه براي آلوده نمودن قربانيان بيگناه استفاده مي شود، اشاره نمود. اين دو گروه بدافزار جهت انجام فعاليت هاي مخرب و جرايم سايبري بسياري از جمله مورد هدف قرار دادن ارتش الكترونيك سوريه مورد استفاده قرار گرفته اند.
علاوه بر اين توقيف تعدادي از دامنه ها توسط مايكروسافت منجر به مختل شدن فعاليت بسياري از گروه هاي هك APT (Advanced persistent threat) شد كه از دامنه NO_IP براي زير ساخت سرور هاي كنترل و فرمان خود استفاده مي كردند. در ذيل به نمونه هايي از آنها اشاره شده است:
   • Flame/Miniflame
   • Turla/Snake/Uroburos, including Epic
   • Cycldek
   • Shiqiang
   • HackingTeam RCS customers
   • Banechant
   • Ladyoffice
بر اساس آمار، اين موضوع حداقل حدود 25٪ از گروهاي APT را تحت تاثير خود قرار داده است. برخي از اين Host ها كه قبلاً در عمليات جاسوسي سايبري، از آنها استفاده مي شده به نظر مي رسد كه در حال حاضر در sinkhole مايكروسافت قرار گرفته اند.
برخي از دامنه هاي سطح بالا كه در شركت Vitalwerk منسوخ گرديده و در حال حاضر از زير ساخت هاي DNS مايكروسافت استفاده مي كنند به شرح ذيل مي باشند:
   • BOUNCEME.NET
   • MYFTP.BIZ
   • MYVNC.COM
   • NO-IP.BIZ
   • NO-IP.INFO
   • REDIRECTME.NET
   • SERVEBEER.COM
   • SERVEBLOG.NET
   • SERVECOUNTERSTRIKE.COM
   • SERVEGAME.COM
   • SERVEHALFLIFE.COM
   • SERVEHTTP.COM
   • SERVEMP3.COM
   • SERVEPICS.COM
   • SERVEQUAKE.COM
   • SYTES.NET
ظاهراً زير ساخت مايكروسافت قادر به مديريت و رسيدگي به درخواست هاي ميليون ها كاربر نمي باشد. تعداد بيشماري از كاربران بيگناه، به دليل اينكه مايكروسافت در حال اصلاح host name هاي مربوط به مجرمان سايبري مي باشند، سرويس هايشان قطع شده است.
مايكروسافت در به روز رساني تاريخ 2014-07-02، ليستي از 20000 دامنه NO-IP را كه در حملات استفاده شده را منتشر نموده است.

ID: IRCNE2014082274
Date: 2014-08-05

According to "ESecurityPlanet", The Department of Homeland Security's U.S. Computer Emergency Readiness Team (US-CERT), in collaboration with Trustwave SpiderLabs, FS-ISAC and the U.S. Secret Service, recently issued an alert warning of new malware called Backoff, which specifically targets point-of-sale (PoS) systems.
According to the US-CERT advisory, attackers are launching brute force attacks to log into remote desktop solutions like Microsoft Remote Desktop, Apple Remote Desktop, Chrome Remote Desktop, Splashtop, Pulseway and Join.me -- and are then using those solutions to infect PoS systems with Backoff malware.
The malware was first seen in operation in October 2013. "At the time of discovery and analysis, the malware variants had low to zero percent anti-virus detection rates, which means that fully updated anti-virus engines on fully patched computers could not identify the malware as malicious," the advisory states.
Once installed, Backoff scrapes memory for track data, logs keystrokes, communicates with a command and control server to upload stolen data and download additional malware, and injects a malicious stub into explorer.exe. The malicious stub is responsible for persistence if the malware crashes or is stopped.
"The Backoff point-of-sale malware has has multiple components which aren't overly sophisticated, but it does try to hide itself on affected systems and also maintain persistence if the machine was restarted," Malwarebytes senior security researcher Jerome Segura noted by email.
"The impact of a compromised PoS system can affect both the businesses and consumer by exposing customer data such as names, mailing addresses, credit/debit card numbers, phone numbers, and e-mail addresses to criminal elements," the US-CERT alert states.
Trustwave threat intelligence manager Karl Sigler told SC Magazine that the Backoff malware has already been leveraged to compromise almost 600 businesses across the U.S.
According to the New York Times, the malware was behind several recent high-profile breaches, including those at Target, P.F. Chang's, Neiman Marcus, Sally Beauty Supply and Goodwill Industries.
An extensive list of recommended actions for risk mitigation, from requiring two-factor authentication for remote desktop access to segregating payment processing networks from other networks, is available here.
Neohapsis security consultant Joe Schumacher said by email that organizations seeking to limit the risk of compromise by Backoff malware should educate employees and provide an approved method for remote access. "Companies should also perform network scans to see if systems have specific ports enabled to provide the remote access services, then follow up to turn off the service," he said.