Malware de retroceso: “Poco sofisticado” pero efectivo

Mira, no estoy intentando asustarte, aunque no creo que sea mala idea estar un poco asustado sobre el nivel de amenaza actual de data breaches. El malware Backoff que se sospecha está detrás de la mayoría de las grandes violaciones de datos en los titulares del último año generalmente se describe como no muy sofisticado, pero los criminales han logrado usar versiones de este código para robar cientos de millones de números de tarjetas de crédito e información personal asociada.

El mes pasado, expertos en seguridad de Damballa publicaron un informe que mostraba un aumento en las infecciones del malware Backoff en puntos de venta durante el tercer trimestre de 2014. La semana pasada, añadieron otra entrada en el blog indicando que las infecciones siguen en aumento a medida que nos acercamos a la importante temporada de compras navideñas. Para empeorar las cosas, investigadores de Fortinet anunciaron el descubrimiento de dos nuevas versiones de Backoff activas en estado salvaje que han sido modificadas específicamente para dificultar su detección.

Aunque Backoff se describe como poco sofisticado, no deja de ser bastante insidioso. En resumen, así es como funciona:

• Cuando se ejecuta el archivo ejecutable, se copia a sí mismo en el disco duro de la máquina para parecer una aplicación de Java (javaw.exe). (Las versiones recién descubiertas, ROM y 211G1 parecen un reproductor multimedia en su lugar.)
• El nuevo archivo está configurado con los atributos READONLY, SYSTEM y HIDDEN.
• El malware establece varias claves del registro para asegurar la persistencia después de los reinicios.
• Utiliza una función personalizada para el raspado de datos de tarjetas de crédito y datos relacionados en la memoria.
• El malware utiliza keylogging y almacena la entrada del teclado en un archivo de registro. (Las versiones ROM y 211G1 aparentemente no incluyen keylogging.)
• El malware intenta inyectar código en el proceso explorer.exe que le permite reinstalarse si es eliminado.
• Se comunica regularmente con el atacante para enviar datos y el atacante tiene la capacidad de enviar comandos, incluyendo nuevas versiones de malware.

Puede leer una explicación más detallada de este proceso en el “Backoff – Technical Analysis” de SpiderLabs.

Otra noticia interesante que surgió esta semana está relacionada con la brecha de datos de Home Depot, que se cree fue causada por una versión del malware Backoff y resultó en la pérdida de 56 millones de números de tarjetas de pago. Home Depot informó que el malware ingresó a sus sistemas mediante las credenciales legítimas de un proveedor externo. En otras palabras, el ataque inicial ocurrió en la red de un tercero, lo que permitió a los ciberdelincuentes acceder a los sistemas de Home Depot con lo que parecía ser una autorización legítima.

La lección importante que debemos aprender de esta noticia es que a veces no importa qué tan buena sea tu seguridad perimetral. A menos que vivas en un búnker subterráneo sin ninguna conexión con nada ni nadie, siempre hay una manera de entrar. Y no hay muchos negocios prácticos que puedas manejar desde un búnker desconectado.

Aunque Backoff está diseñado principalmente como un malware de punto de venta que se dirige a los minoristas, otras empresas también deben estar alerta. American Banker publicó “Cómo funciona el malware ‘Backoff’ y por qué los bancos deberían preocuparse,” dirigido principalmente a instituciones financieras pero con información valiosa para cualquier negocio. El artículo señala cómo la capacidad de registro de teclas del malware puede ser utilizada para robar contraseñas, lo que podría ser un problema para bancos, instituciones médicas o cualquier empresa que maneje datos seguros.

Como casi cualquier malware, Backoff siempre intenta ocultar lo que está haciendo: eliminando copias de sí mismo, cambiando su nombre y demás. Al mismo tiempo, está realizando muchos cambios en la red mientras lleva a cabo sus actividades. Y está creando un canal de comunicación con el atacante para exfiltrar datos robados. Como resultado, la actividad de Backoff debería aparecer en un change auditing log. Sí, es importante tener un antivirus actualizado y protección contra malware, pero también es importante mantener una vigilancia estrecha en tu red para detectar cambios o comunicaciones no autorizados o inusuales.

En el caso de la violación de datos de Home Depot, el malware estuvo activo en sus sistemas durante al menos cuatro meses y enviaba regularmente información de tarjetas de crédito y otros datos personales fuera de la red. Es mucho tiempo para que tanta actividad esté ocurriendo dentro de la red sin levantar sospechas. Espero que otros profesionales de TI sean más vigilantes con la network auditoría, y estén atentos a problemas como Backoff. No querrás que tu temporada de fiestas se arruine con una violación de seguridad—o arruinar la de alguien más.