Malware de Recuo: “Simples” Mas Eficaz

Olha, não estou tentando te assustar, embora eu não ache que seja uma má ideia estar um pouco assustado com o nível atual de ameaça vindo de data breaches. O malware Backoff, que é suspeito de estar por trás da maioria dos grandes vazamentos que foram manchete no último ano, geralmente é descrito como não muito sofisticado — ainda assim, criminosos conseguiram usar versões desse código para roubar centenas de milhões de números de cartão de crédito e informações pessoais associadas.

No mês passado, especialistas em segurança da Damballa divulgaram um relatório que mostrou um aumento nas infecções do malware Backoff point-of-sale durante o terceiro trimestre de 2014. Na semana passada, eles adicionaram outro post no blog indicando que as infecções continuam a crescer à medida que nos aproximamos da importante temporada de compras de fim de ano. Para piorar a situação, pesquisadores da Fortinet anunciaram a descoberta de duas novas versões do Backoff ativas na natureza que foram modificadas especificamente para tornar a detecção mais difícil.

Embora o Backoff seja descrito como pouco sofisticado, ele é, no entanto, bastante insidioso. Em resumo, é assim que ele opera:

• Quando o executável é executado, ele se copia para o disco rígido da máquina para parecer uma aplicação Java (javaw.exe). (As versões recém-descobertas, ROM e 211G1, parecem um reprodutor de mídia em vez disso.)
• O novo arquivo está configurado com os atributos READONLY, SYSTEM e HIDDEN.
• O malware configura várias chaves do registro para garantir persistência após reinicializações.
• Utiliza uma função personalizada para raspagem de dados de cartões de crédito e dados relacionados na memória.
• O malware utiliza keylogging e armazena as entradas do teclado em um arquivo de log. (As versões ROM e 211G1 aparentemente não incluem keylogging.)
• O malware tenta injetar código no processo explorer.exe que permite que ele se reinstale caso seja removido.
• Ele se comunica regularmente com o atacante para enviar dados e o atacante tem a capacidade de enviar comandos, incluindo novas versões de malware.

Você pode ler uma explicação mais detalhada deste processo no “Backoff – Technical Analysis” da SpiderLabs.

Outra notícia interessante que surgiu esta semana está relacionada ao data breach da Home Depot, que se acredita ser de uma versão do Backoff e resultou na perda de 56 milhões de números de cartões de pagamento. A Home Depot divulgou a notícia de que o malware entrou em seus sistemas através de credenciais legítimas de um fornecedor terceirizado. Em outras palavras, o hack inicial ocorreu na rede de outra pessoa, permitindo que os criminosos entrassem na Home Depot com o que parecia ser uma autorização legítima.

A lição importante a tirar desta notícia é que, às vezes, não importa quão boa seja a sua segurança de perímetro. A menos que você esteja vivendo em um bunker subterrâneo sem absolutamente nenhuma conexão com qualquer coisa ou pessoa, sempre há uma maneira de entrar. E não há muitos negócios práticos que você possa administrar a partir de um bunker desconectado.

Embora o Backoff seja projetado principalmente como um malware de ponto de venda que visa varejistas, outras empresas também devem estar atentas. American Banker publicou “Como o Malware ‘Backoff’ Funciona e Por Que os Bancos Devem se Preocupar,” direcionado principalmente a instituições financeiras, mas com informações valiosas para qualquer empresa. O artigo destaca como a capacidade de registro de teclas do malware pode ser usada para roubar senhas, o que poderia ser um problema para bancos, instituições médicas ou qualquer empresa que lide com dados seguros.

Como quase qualquer malware, o Backoff está sempre tentando esconder suas ações—removendo cópias de si mesmo, renomeando-se e assim por diante. Ao mesmo tempo, está realizando muitas alterações na rede enquanto conduz seus negócios. E está criando um canal de comunicação com o atacante para exfiltrar dados roubados. Como resultado, a atividade do Backoff deve aparecer em um change auditing log. Sim, é importante ter um antivírus atualizado e proteção contra malware, mas também é importante manter uma vigilância rigorosa na sua rede para mudanças ou comunicações não autorizadas ou incomuns.

No caso da violação da Home Depot, o malware estava ativo em seus sistemas por pelo menos quatro meses e enviava regularmente informações de cartão de crédito e outras informações pessoais para fora da rede. Esse é um período muito longo para que tanta atividade esteja ocorrendo dentro da rede e nenhum sinal de alerta seja levantado. Espero que outros profissionais de TI estejam mais atentos à auditoria de network e estejam à procura de problemas como o Backoff. Você não quer que suas festas de fim de ano sejam arruinadas por uma violação—ou arruinar as de outra pessoa.