Malware Backoff: "Primitivo" ma efficace

Guarda, non sto cercando di spaventarti, anche se non penso sia una cattiva idea essere un po' preoccupati per l'attuale livello di minaccia proveniente dai data breaches. Il malware Backoff, che si sospetta sia dietro la maggior parte delle grandi violazioni di dati degli ultimi anni, è generalmente descritto come non molto sofisticato—eppure i criminali sono riusciti ad utilizzare versioni di questo codice per rubare centinaia di milioni di numeri di carte di credito e informazioni personali associate.

Il mese scorso, gli esperti di sicurezza di Damballa hanno pubblicato un rapporto che mostrava un picco nelle infezioni del malware Backoff point-of-sale durante il terzo trimestre del 2014. La settimana scorsa, hanno aggiunto un altro post sul blog indicando che le infezioni continuano ad aumentare mentre ci avviciniamo alla cruciale stagione degli acquisti natalizi. Per peggiorare le cose, i ricercatori di Fortinet hanno annunciato la scoperta di due nuove versioni di Backoff attive in natura che sono state modificate appositamente per rendere più difficile il rilevamento.

Anche se Backoff è descritto come non sofisticato, è comunque piuttosto insidioso. In breve, ecco come funziona:

• Quando l'eseguibile viene avviato, si copia sul disco rigido della macchina per sembrare un'applicazione Java (javaw.exe). (Le versioni recentemente scoperte, ROM e 211G1, sembrano invece un lettore multimediale.)
• Il nuovo file è configurato con gli attributi READONLY, SYSTEM e HIDDEN.
• Il malware imposta diverse chiavi di registro per garantire la persistenza dopo i riavvii.
• Utilizza una funzione personalizzata per lo scraping dei dati delle carte di credito e dati correlati in memoria.
• Il malware utilizza la registrazione dei tasti e memorizza l'input della tastiera in un file di log. (Le versioni ROM e 211G1 apparentemente non includono la registrazione dei tasti.)
• Il malware tenta di iniettare codice nel processo explorer.exe che gli permette di reinstallarsi se viene rimosso.
• Comunica regolarmente con l'attaccante per inviare dati e l'attaccante ha la capacità di inviare comandi, inclusi nuove versioni di malware.

Puoi leggere una spiegazione più dettagliata di questo processo nel “Backoff – Technical Analysis” di SpiderLabs.

Un'altra notizia interessante emersa questa settimana riguarda il data breach di Home Depot, che si ritiene derivi da una versione di Backoff e abbia comportato la perdita di 56 milioni di numeri di carte di pagamento. Home Depot ha rilasciato la notizia che il malware è entrato nei loro sistemi attraverso le credenziali legittime di un fornitore terzo. In altre parole, l'hack iniziale è avvenuto sulla rete di qualcun altro, permettendo ai criminali di entrare in Home Depot con ciò che sembrava essere un'autorizzazione legittima.

La lezione importante da trarre da questa notizia è che a volte non importa quanto sia buona la tua sicurezza perimetrale. A meno che tu non viva in un bunker sotterraneo completamente isolato da qualsiasi connessione con il mondo esterno o altre persone, c'è sempre un modo per entrare. E non ci sono molte attività commerciali praticabili che puoi gestire da un bunker disconnesso.

Sebbene Backoff sia principalmente progettato come un malware per punti vendita che prende di mira i rivenditori, anche altre imprese dovrebbero stare all'erta. American Banker ha pubblicato “Come funziona il malware ‘Backoff’ e perché le banche dovrebbero preoccuparsene,” rivolto principalmente alle istituzioni finanziarie ma con informazioni preziose per qualsiasi impresa. L'articolo evidenzia come la capacità di keylogging del malware possa essere utilizzata per rubare password, il che potrebbe essere un problema per le banche, le istituzioni mediche o qualsiasi impresa che gestisce dati protetti.

Come quasi ogni malware, Backoff cerca sempre di nascondere le proprie azioni—eliminando copie di se stesso, rinominandosi e così via. Allo stesso tempo, sta apportando molti cambiamenti alla rete mentre svolge le sue attività. E sta creando un canale di comunicazione con l'attaccante per esfiltrare dati rubati. Di conseguenza, le attività di Backoff dovrebbero essere visibili in un change auditing log. Sì, è importante avere un anti-virus aggiornato e protezione da malware, ma è altrettanto importante tenere sotto stretta osservazione la rete per cambiamenti o comunicazioni non autorizzati o insoliti.

Nel caso della violazione di Home Depot, il malware è stato attivo sui loro sistemi per almeno quattro mesi e inviava regolarmente informazioni su carte di credito e altri dati personali all'esterno della rete. È un periodo davvero lungo per un'attività del genere all'interno della rete senza che venissero sollevate bandiere rosse. Spero che altri professionisti IT siano più vigili riguardo all'network audit e siano alla ricerca di problemi come Backoff. Non vorresti che la tua stagione festiva fosse rovinata da una violazione—o rovinare quella di qualcun altro.