Het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid heeft samen met de Secret Service en IT-beveiliger Trustwave Spiderlabs een waarschuwing afgegeven voor een nieuwe malware-variant die kassasystemen infecteert om vervolgens creditcardgegevens van klanten te stelen.
De malware heet "Backoff" en gebruikt remote desktop om toegang tot computers te krijgen. Remote desktop-oplossingen maken het mogelijk om een computer of server op afstand te beheren of te gebruiken. Om in te loggen gebruiken de aanvallers brute force-aanvallen. Slagen de aanvallers erin om toegang tot het systeem te krijgen, dan wordt de kassamalware geïnstalleerd.
Uit onderzoek blijkt dat er meerdere varianten van Backoff in omloop zijn die nauwelijks door virusscanners worden gedetecteerd. Dat zou door de nu verschenen waarschuwing echter moeten veranderen. Backoff zou bij drie verschillende forensische onderzoeken zijn aangetroffen. Eenmaal actief op het kassasysteem steelt de malware creditcardgegevens uit het geheugen, die vervolgens naar de aanvallers worden teruggestuurd.
Ook kan Backoff toetsaanslagen opslaan en is er een Command & Control-onderdeel om met de aanvallers te communiceren. Die kunnen bijvoorbeeld de opdracht geven om de malware te updaten, aanvullende malware te installeren of de malware te verwijderen. In deze waarschuwing geven de verschillende instanties aanwijzingen die op een besmet kassasysteem duiden.
Verder worden er tips gegeven om de toegang tot remote desktop aan te scherpen, zoals het gebruik van twee-factor authenticatie en het aanpassen van de poort waarover remote desktop toegankelijk is, alsmede het aantal gebruikers en werkstations dat kan inloggen. Daarnaast volgen nog adviezen voor het beveiligen van de netwerken waarop de kassasystemen draaien en het beveiligen van de kassasystemen zelf.
Deze posting is gelocked. Reageren is niet meer mogelijk.