هشدار CERT ايالات متحده در مورد بدافزار جديد Backoff

شماره: IRCNE2014082274
تاريخ: 93/05/14

گروه امداد و امنيت كامپيوتري وزارت امنيت داخلي ايالات متحده (US-CERT)، به همراه Trustwave SpiderLabs، FS-ISAC و سرويس پليس مخفي ايالات متحده، اخيراً هشداري در مورد يك بدافزار جديد به نام Backoff منتشر كرده‌اند كه به طور خاص سيستم‌هاي كارت‌خوان را هدف قرار مي‌دهد.
بر اساس راهنمايي امنيتي US-CERT، مهاجمان در حال انجام حملات brute force هستند تا بدينوسيله به راهكارهاي اتصال از راه دور مانند Microsoft Remote Desktop، Apple Remote Desktop، Chrome Remote Desktop، Splashtop، Pulseway و Join.meوارد شوند و سپس از اين راهكارها براي آلوده كردن سيستم‌هاي كارت‌خوان با بدافزار Backoff استفاده مي‌كنند.
به گفته اين راهنمايي امنيتي، اين بدافزار نخستين بار در اكتبر 2013 مشاهده شد. در زمان كشف و تحليل، نرخ تشخيص ويرايش‌هاي مختلف اين بدافزار در آنتي‌ويروس‌ها تقريباً صفر بود. اين بدان معناست كه آنتي‌ويروس‌هاي كاملاً به‌روز بر روي سيستم‌هاي كاملاً اصلاح شده قادر به شناسايي اين بدافزار به عنوان يك برنامه مخرب نبودند.
هنگامي كه Backoff نصب مي‌گردد، حافظه را از داده‌هاي مربوط به رديابي خود پاك مي‌كند، ضربات صفحه كليد را ضبط مي‌كند، با سرور دستور و كنترل براي آپلود كردن داده‌هاي سرقت شده و دانلود كردن بدافزارهاي ديگر ارتباط برقرار مي‌كند، و يك كد مخرب به explorer.exe تزريق مي‌نمايد. اين كد مخرب درصورتي‌كه بدافزار دچار اختلال شده يا كار آن متوقف گردد، مسئول تلاش براي راه‌اندازي مجدد آن است.
به گفته يك محقق ارشد امنيتي در شركت امنيتي Malwarebytes، بدافزار كارت‌خوان Backoff از اجزاي مختلفي تشكيل شده است كه چندان پيچيده نيستند، ولي اين بدافزار سعي مي‌كند كه خود را بر روي سيستم قرباني پنهان نمايد و همچنين درصورتي‌كه دستگاه مجدداً راه‌اندازي شود، به حيات خود ادامه مي‌دهد.
هشدار US-CERT تصريح مي‌كند كه يك كارت‌خوان آلوده مي‌تواند هم صاحب كسب و كار و هم مشتري را به دردسر بيندازد. در مورد مشتري داده‌هايي مانند نام، آدرس ايميل، شماره كارت اعتباري، شماره تلفن و آدرس ايميل افشا مي‌گردد.
مدير تهديدات هوشمند شركت امنيتي Trustwave اظهار داشت كه بدافزار Backoff تا كنون نزديك به 600 كسب و كار را در سراسر ايالات متحده هدف قرار داده و به آنها نفوذ كرده است.
به گزارش نيويورك تايمز، اين بدافزار پشت بسياري از نشت‌هاي اطلاعاتي اخير از جمله Target، P.F. Chang's، Neiman Marcus، Sally Beauty Supply و Goodwill Industries قرار داشته است.
فهرست مفصلي از اقدامات براي كاهش خطرات اين بدافزار، از احراز هويت دو فاكتوري براي اتصال از راه دور گرفته تا جداسازي شبكه‌هاي پردازش پرداخت از ساير شبكه‌ها، منتشر شده است.
يك مشاور امنيتي Neohapsis اظهار كرد كه سازمان‌هايي كه مي‌خواهند خطر مورد سوء استفاده واقع شدن توسط بدافزار Backoff را كاهش دهند بايد كارمندان خود را آموزش داده و از روش مقبولي براي اتصال از راه دور استفاده كنند. شركت‌ها همچنين بايد عمليات پويش شبكه را انجام دهند تا ببينند كه آيا پورت‌هاي خاصي براي مهيا ساختن اتصال از راه دور فعال شده است يا خير.