ايتنا - هشدار CERT ایالات متحده در مورد بدافزار جدید Backoff

گروه امداد و امنیت كامپیوتری وزارت امنیت داخلی ایالات متحده (US-CERT)، به همراه Trustwave SpiderLabs، FS-ISAC و سرویس پلیس مخفی ایالات متحده، اخیراً هشداری در مورد یك بدافزار جدید به نام Backoff منتشر كرده‌اند كه به طور خاص سیستم‌های كارت‌خوان را هدف قرار می‌دهد.

به گزارش ایتنا از مرکز ماهر، بر اساس راهنمایی امنیتی US-CERT، مهاجمان در حال انجام حملات brute force هستند تا بدینوسیله به راهكارهای اتصال از راه دور مانند Microsoft Remote Desktop، Apple Remote Desktop، Chrome Remote Desktop، Splashtop، Pulseway و Join.meوارد شوند و سپس از این راهكارها برای آلوده كردن سیستم‌های كارت‌خوان با بدافزار Backoff استفاده می‌كنند.

به گفته این راهنمایی امنیتی، این بدافزار نخستین بار در اكتبر ۲۰۱۳ مشاهده شد. در زمان كشف و تحلیل، نرخ تشخیص ویرایش‌های مختلف این بدافزار در آنتی‌ویروس‌ها تقریباً صفر بود.
این بدان معناست كه آنتی‌ویروس‌های كاملاً به‌روز بر روی سیستم‌های كاملاً اصلاح شده قادر به شناسایی این بدافزار به عنوان یك برنامه مخرب نبودند.

هنگامی كه Backoff نصب می‌گردد، حافظه را از داده‌های مربوط به ردیابی خود پاك می‌كند، ضربات صفحه كلید را ضبط می‌كند، با سرور دستور و كنترل برای آپلود كردن داده‌های سرقت شده و دانلود كردن بدافزارهای دیگر ارتباط برقرار می‌كند، و یك كد مخرب به explorer.exe تزریق می‌نماید.

این كد مخرب درصورتی‌كه بدافزار دچار اختلال شده یا كار آن متوقف گردد، مسئول تلاش برای راه‌اندازی مجدد آن است.

به گفته یك محقق ارشد امنیتی در شركت امنیتی Malwarebytes، بدافزار كارت‌خوان Backoff از اجزای مختلفی تشكیل شده است كه چندان پیچیده نیستند، ولی این بدافزار سعی می‌كند كه خود را بر روی سیستم قربانی پنهان نماید و همچنین درصورتی‌كه دستگاه مجدداً راه‌اندازی شود، به حیات خود ادامه می‌دهد.

هشدار US-CERT تصریح می‌كند كه یك كارت‌خوان آلوده می‌تواند هم صاحب كسب و كار و هم مشتری را به دردسر بیندازد. در مورد مشتری داده‌هایی مانند نام، آدرس ایمیل، شماره كارت اعتباری، شماره تلفن و آدرس ایمیل افشا می‌گردد.

مدیر تهدیدات هوشمند شركت امنیتی Trustwave اظهار داشت كه بدافزار Backoff تا كنون نزدیك به ۶۰۰ كسب و كار را در سراسر ایالات متحده هدف قرار داده و به آنها نفوذ كرده است.

به گزارش نیویورك تایمز، این بدافزار پشت بسیاری از نشت‌های اطلاعاتی اخیر از جمله Target، P.F. Chang's، Neiman Marcus، Sally Beauty Supply و Goodwill Industries قرار داشته است.

فهرست مفصلی از اقدامات برای كاهش خطرات این بدافزار، از احراز هویت دو فاكتوری برای اتصال از راه دور گرفته تا جداسازی شبكه‌های پردازش پرداخت از سایر شبكه‌ها، منتشر شده است.

یك مشاور امنیتی Neohapsis اظهار كرد كه سازمان‌هایی كه می‌خواهند خطر مورد سوء استفاده واقع شدن توسط بدافزار Backoff را كاهش دهند باید كارمندان خود را آموزش داده و از روش مقبولی برای اتصال از راه دور استفاده كنند.

شركت‌ها همچنین باید عملیات پویش شبكه را انجام دهند تا ببینند كه آیا پورت‌های خاصی برای مهیا ساختن اتصال از راه دور فعال شده است یا خیر.