Разработчики печально известного трояна для POS-терминалов Backoff, заразившего более тысячи компаний в США, продолжают улучшать вредоносный код, сообщает компания Fortinet. Последняя версия Backoff, обозначенная как ROM, включает в себя шифрование соединений между заражёнными системами и управляющими серверами. Это улучшение направлено на дальнейшее скрытие активности вредоноса, созданного для кражи данных с банковских карт, в заражённой системе.

По словам американских экспертов, изучивших сотни случаев заражения компаний вредоносом, киберпреступники обычно пользуются уязвимостями стороннего ПО или удалённого доступа для заражения систем. При этом ранее заражённые компьютеры взаимодействовали с серверами злоумышленников через чистый HTTP, так что заметить признаки заражения можно было простым анализом интернет-трафика. Добавление шифрования с помощью SSL исключает такую возможность.

Прочие улучшения вредоноса менее значительны. Например, в предыдущей версии использовались "чёрные списки" имён файлов, следить за которыми на заражённых системах злоумышленникам было не надо, а в Backoff ROM для этого используются хэши, что позволяет более тщательно разделять процессы в системе и определять интересующие.

Эксперты уже обнаружили следующую версию Backoff ROM - 211G1, вышедшую всего месяц спустя. Разработчики вредоноса продолжают модифицировать файлы, что позволяет избегать обнаружения трояна традиционными антивирусами и усложняет анализ кода. Однако все рекомендации по продвинутой защите, относившиеся к прошлым версиям, остаются эффективными: двухфакторная аутентификация, контроль разрешённых интернет-соединений устройства по принципу "белых списков" и предотвращение модификаций системы защитят POS-терминалы от списков новых версий Backoff так же, как и от предыдущих.

http://www.safensoft.ru/security.phtml?c=929&id=1752