Nuevo malware de punto de venta (POS) ModPipe dirigido a restaurantes y hoteles

Investigadores de ciberseguridad revelaron un nuevo tipo de puerta trasera modular que tiene como objetivo el software de gestión de restaurantes de punto de venta (POS) de Oracle en un intento de robar información de pago confidencial almacenada en los dispositivos.

La puerta trasera, denominada «ModPipe», afecta a los sistemas POS 3700 de Oracle MICROS Restaurant Enterprise Series (RES), un paquete de software ampliamente utilizado en restaurantes y establecimientos hoteleros para manejar de manera eficiente POS, inventario y administración de mano de obra. 

«Lo que distingue a la puerta trasera son sus módulos descargables y sus capacidades, ya que contiene un algoritmo personalizado diseñado para recopilar las contraseñas de la base de datos de POS RES 3700 descifrándolas de los valores del registro de Windows», dijeron los investigadores de ESET en un análisis.

«Las credenciales extraídas permiten a los operadores de ModPipe acceder al contenido de la base de datos, incluidas varias definiciones y configuraciones, tablas de estado e información sobre transacciones POS».

Vale la pena señalar que los detalles como los números de tarjetas de crédito y las fechas de vencimiento están protegidos detrás de las barreras de cifrado en RES 3700, lo que limita la cantidad de información valiosa viable para un uso indebido posterior, aunque los investigadores postulan que el actor detrás de los ataques podría estar en posesión de un segundo módulo descargable para descifrar el contenido de la base de datos.

La infraestructura de ModPipe consta de un cuentagotas inicial que se utiliza para instalar un cargador persistente, que luego desempaqueta y carga la carga útil de la siguiente etapa: el módulo de malware principal que se usa para establecer comunicaciones con otros módulos «descargables» y el comando y control ( C2) servidor a través de un módulo de red independiente.

El principal de los módulos descargables es «GetMicInfo», un componente que puede interceptar y descifrar contraseñas de bases de datos mediante un algoritmo especial, que los investigadores de ESET teorizan que podría haberse implementado mediante ingeniería inversa de las bibliotecas criptográficas o haciendo uso de las especificaciones de implementación de cifrado obtenidas. a raíz de una violación de datos en la división MICROS POS de Oracle en 2016.