Una amenaza cibernética descubierta recientemente ataca los puntos de venta (PoS) y ha afectado a más de mil negocios en Estados Unidos. Identificada como Trojan.Backoff esta nueva amenaza es capaz de robar información de las tarjets de crédito y débito de las terminales infectadas. Los riesgos que puede generar Backoff han hecho que el Departamento de Seguridad Nacional de los Estados Unidos emita un aviso dirigido a todas las organizaciones, sin importar su tamaño, para alertarlas sobre esta situación e invitarlas a que revisen sus equipos con el objetivo de detectar posibles infecciones.
La advertencia es un seguimiento al boletín que distribuyó US-CERT el pasado 31 de julio, el cual mencionaba que siete proveedores de sistemas PoS habrían confirmado que varios de sus clientes fueron afectados por este malware. Después de recibir información sobre las localidades que fueron impactadas, el Servicio Secreto estima que más de mil negocios en los EEUU han sido afectados, y que las infecciones involucran entidades del sector privado, de todos tamaños. Por lo menos dos de las brechas de seguridad reportadas recientemente, serían causadas por Backoff.
El Departamento de Seguridad Nacional mencionó que este virus fue detectado por primera vez en octubre de 2013, pero no fue reconocido por las soluciones antivirus hasta agosto de 2014. Symantec creó la detección para Backoff el 1 de agosto. Antes del desarrollo de esta detección, algunas muestras del malware fueron detectadas por otras firmas de Symantec desde octubre de 2013, aunque antes del 1 de agosto no fueron identificadas especificamente como Trojan.Backoff
La telemetría de Symantec indica que la mayor parte de las infecciones han ocurrido en los Estados Unidos y Canadá, con un menor número de afectaciones en el Reino Unido y Polonia.
Indicadores de riesgo
Symantec tiene conocimiento de ocho diferentes variantes de Backoff, incluyendo una identificada el 31 de julio. Las diferencias entre cada una se presentan en la ruta de instalación del malware, registros de entradas, valores de registro y los servidores de comando-y-control (C&C) contactados. Debido a las investigaciones que se están realizando actualmente, no podemos revelar detalles sobre los servidores C&C ni de los URLs que están siendo utilizados por los criminales cibernéticos.
Symantec ha detectado muestras de Backoff con las siguientes funciones hash MD5:
- 01f0d20a1a32e535b950428f5b5d6e72
- 05f2c7675ff5cda1bee6a168bdbecac0
- 0607ce9793eea0a42819957528d92b02
- 0ca02ff545ecc2ca90f21d5475313c66
- 12c9c0bc18fdf98189457a9d112eebfc
- 17e1173f6fc7e920405f8dbde8c9ecac
- 30c5592a133137a84f61898993e513db
- 337058dca8e6cbcb0bc02a85c823a003
- 38e8ed887e725339615b28e60f3271e4
- 3ff0f444ef4196f2a47a16eeec506e93
- 4956cf9ddd905ac3258f9605cf85332b
- 5cdc9d5998635e2b91c0324465c6018f
- 684e03daaffa02ffecd6c7747ffa030e
- 6a0e49c5e332df3af78823ca4a655ae8
- 821ac2580843cb0c0f4baff57db8962e
- 842e903b955e134ae281d09a467e420a
- 874cd0b7b22ae1521fd0a7d405d6fa12
- 8a019351b0b145ee3abe097922f0d4f6
- 97fa64dfaa27d4b236e4a76417ab51c1
- aa68ecf6f097ffb01c981f09a21aef32
- b08d4847c370f79af006d113b3d8f6cf
- b1661862db623e05a2694c483dce6e91
- bbe534abcc0a907f3c18cfe207a5dfca
- c0d0b7ffaec38de642bf6ff6971f4f9e
- c61442478ca3686cfe6bbf9289425bca
- cc640ad87befba89b440edca9ae5d235
- d0c74483f20c608a0a89c5ba05c2197f
- d0f3bf7abbe65b91434905b6955203fe
- d1d544dbf6b3867d758a5e7e7c3554bf
- ea0c354f61ba0d88a422721caefad394
- f5b4786c28ccf43e569cb21a6122a97e
- fc041bda43a3067a0836dca2e6093c25
- ffe53fb9280bf3a8ceb366997488486e
Cuando se ejecuta, Trojan.Backoff puede crear algunas de las siguientes entradas de registro, para que arranquen al iniciar Windows:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service"=”%UserProfile%\Application Data\AdobeFlashPlayer\mswinhost.exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”=” “%UserProfile%\Application Data \AdobeFlashPlayer\mswinsvc.exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”= “%UserProfile%\Application Data\ OracleJava\javaw.exe”
- HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”= “%UserProfile%\Application Data\ OracleJava\javaw.exe”
También puede crear la siguiente entrada en el registro:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"identifier"=”[7 CARACTERES ALEATORIOS]”
Los caracteres aleatorios son creados utilizando como base el número de milisegundos transcurridos desde que la computadora arrancó. La cadena podría parecerse a los siguientes ejemplos:
Backoff se copiaría automáticamente a alguna de las siguientes ubicaciones:
- %UserProfile%\Application Data\AdobeFlashPlayer\mswinsvc.exe
- %UserProfile%\Application Data\OracleJava\javaw.exe
- C:\Documents and Settings\All Users\Application Data\OracleJava\javaw.exe
Por lo general, el malware instalará un archivo único en la computadora de la víctima. El nombre tendrá el siguiente formato:
“C:\Documents and Settings\All Users\Application Data\[12 CARACTERES ALEATORIOS]”
Nuevamente, como en los valores del registro, los caracteres aleatorios se crean utilizando como base el número de milisegundos transcurridos desde que la computadora arrancó.
En algunas instancias, la amenaza también instalará archivos adicionales. Algunos nombres que se han registrado hasta el momento son:
- %Temp%\TsGSQyhhweBf.exe
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt.bku
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt.bku
Información adicional
Se puede consultar mayor información sobre ataques a Puntos de Venta en nuestro blog: Demystifying Point of Sale Malware and Attacks (“Desmitificando el malware y ataques a los puntos de venta”).
Protección de Symantec
Para el malware identificado en estos ataques, Symantec cuenta con estas detecciones instaladas:
AV
Trojan.Backoff
Trojan.Backoff!gm
IPS
System Infected: Trojan.Backoff Activity