Los investigadores de ciberseguridad revelaron hoy un nuevo tipo de puerta trasera modular que tiene como objetivo el software de gestión de restaurantes de punto de venta (POS) de Oracle en un intento de robar información de pago confidencial almacenada en los dispositivos.
La puerta trasera, denominada «ModPipe», afecta a los sistemas POS 3700 de Oracle MICROS Restaurant Enterprise Series (RES), un paquete de software ampliamente utilizado en restaurantes y establecimientos hoteleros para manejar de manera eficiente POS, inventario y administración de mano de obra. La mayoría de los objetivos identificados se encuentran principalmente en los EE. UU.
«Lo que distingue a la puerta trasera son sus módulos descargables y sus capacidades, ya que contiene un algoritmo personalizado diseñado para recopilar contraseñas de bases de datos de POS RES 3700 descifrándolas de los valores de registro de Windows», dijeron los investigadores de ESET en un análisis .
«Las credenciales extraídas permiten a los operadores de ModPipe acceder al contenido de la base de datos, incluidas varias definiciones y configuraciones, tablas de estado e información sobre transacciones POS».
Vale la pena señalar que los detalles como los números de tarjetas de crédito y las fechas de vencimiento están protegidos detrás de las barreras de cifrado en RES 3700, lo que limita la cantidad de información valiosa viable para un uso indebido posterior, aunque los investigadores postulan que el actor detrás de los ataques podría estar en posesión de un segundo módulo descargable para descifrar el contenido de la base de datos.
La infraestructura de ModPipe consiste en un cuentagotas inicial que se usa para instalar un cargador persistente, que luego desempaqueta y carga la carga útil de la siguiente etapa: el módulo de malware principal que se usa para establecer comunicaciones con otros módulos «descargables» y el comando y control ( C2) servidor a través de un módulo de red independiente.
El principal de los módulos descargables es «GetMicInfo», un componente que puede interceptar y descifrar las contraseñas de la base de datos mediante un algoritmo especial, que los investigadores de ESET teorizan que podría haberse implementado mediante ingeniería inversa de las bibliotecas criptográficas o haciendo uso de las especificaciones de implementación de cifrado obtenidas. a raíz de una violación de datos en la división MICROS POS de Oracle en 2016.
Un segundo módulo llamado «ModScan 2.20» está dedicado a recopilar información adicional sobre el sistema POS instalado (por ejemplo, versión, datos del servidor de base de datos), mientras que otro módulo con el nombre de «Proclist» recopila detalles sobre los procesos que se están ejecutando actualmente.
«La arquitectura, los módulos y sus capacidades de ModPipe también indican que sus escritores tienen un amplio conocimiento del software RES 3700 POS específico», dijeron los investigadores. «La competencia de los operadores podría provenir de múltiples escenarios, incluido el robo y la ingeniería inversa del producto de software propietario, el uso indebido de sus partes filtradas o la compra de código en un mercado clandestino».
Se recomienda a las empresas del sector hotelero que utilizan el POS RES 3700 que actualicen a la última versión del software, así como que utilicen dispositivos que ejecuten versiones actualizadas del sistema operativo subyacente.
Fuente: https://thehackernews.com/2020/11/new-modpipe-point-of-sale-pos-malware.html
