ModPipe Malware

ModPipe Malware Beskrivelse

ModPipe er en ny stamme af malware, der er målrettet mod PoS-enheder (PoS), der er i stand til at udtrække forskellige datatyper fra dem. Selvom malware er designet til kun at påvirke en enkelt administrationssoftwarepakke - Oracle Micros Restaurant Enterprise Series (RES) 3700, er det nok at kompromittere hundreder af tusinder af organisationer, der potentielt arbejder i hotelbranchen. Faktisk beskriver Oracle RES 3700 som den "mest installerede software til restaurantadministration i branchen i dag." Softwaren kan administrere en bred vifte af tjenester såsom loyalitetsprogrammer, mobilbetalinger, PoS-enheder, rapporter, kampagner og beholdning.

Hackerne bag ModPipe ser ud til at have ekstrem dyb viden om styringssoftwaren, hvilket fremgår af det faktum, at ModPipe Malware har en specialbygget algoritme, der er i stand til at udtrække RES 3700 POS-databaseadgangskoder fra Windows-registreringsdatabasen.

ModPipe Malware har en modulær struktur, der består af en dropper - enten en 32 / bit eller en 64 / bit afhængigt af den kompromitterede enhed, en første trinslæsser og den faktiske malware-nyttelast. Kommunikationen mellem de forskellige moduler og Command-and-Control-infrastrukturen letter ved at skabe et 'rør'. Efter udførelse kan ModPipe høste indhold fra PoS-databaser, der inkluderer statusetiketter og visse detaljer om PoS-transaktioner, detaljer om systemkonfigurationen osv. Men hvad malware ikke kan få takket være krypteringen implementeret af RES 3700 er kreditkortnumre og udløbsdatoer.

Forskere har formået at identificere flere af de moduler, der bruges af ModPipe - den brugerdefinerede algoritme, der opfanger og dekrypterer RES 3700-databaseadgangskoder, er indeholdt i et modul ved navn 'GetMicInfo', PoS-information gennem IP-scanning udføres af 'ModScan 2.20', mens den aktuelle listen over processer, der kører på den kompromitterede enhed, overvåges af 'ProcList.' Det skal bemærkes, at de truende funktioner i ModPipe kunne udvides eller udvides yderligere ved download af yderligere malware-moduler.