Backoff ROM - новая версия PoS-трояна Backoff


Backoff ROM - троянская программа, предназначенная для заражения PoS-устройств.

Данный вариант трояна семейства Backoff, выдает себя за медиапроигрыватель mplayerc.exe. Напомним, что ранее вирус маскировался под Java-компонент, который прописывал себя в разделы автозагрузки системного реестра.

В отличие от своих предшественников, Backoff ROM для саморазмножения использует функцию WinExec вместо CopyFileA. Для усложнения процесса анализа, названия функций переводятся в хешированные значения, которые расшифровываются отдельной функцией. Кроме этого, Backoff ROM содержит "черный список" из 29 процессов, которые игнорируются вредоносом.

Все похищенные данные платежных карт хранятся в зашифрованном файле locale.dat. Перед тем, как соединиться с C&C-сервером, вредоносное ПО проверяет наличие файла, и лишь после этого расшифровывает его и пересылает через POST-запрос по порту 443. Трафик между сервером и вредоносом шифруется.

Единственное, что непонятно, почему в новой версии Backoff удалена функция перехвата нажатия клавиш.