Malware ModPipe

Malware ModPipe Descrizione

ModPipe è un nuovo ceppo di malware che prende di mira i dispositivi Point-of-Sale (PoS) in grado di estrarre vari tipi di dati da essi. Sebbene il malware sia stato progettato per colpire solo una singola suite di software di gestione - Oracle Micros Restaurant Enterprise Series (RES) 3700, è sufficiente per compromettere centinaia di migliaia di organizzazioni che lavorano potenzialmente nel settore dell'ospitalità. In effetti, Oracle descrive il RES 3700 come "il software di gestione dei ristoranti più installato oggi nel settore". Il software può gestire un'ampia gamma di servizi come programmi fedeltà, pagamenti mobili, dispositivi PoS, report, promozioni e inventario.

Gli hacker dietro ModPipe sembrano avere una conoscenza estremamente approfondita del software di gestione, evidenziato dal fatto che ModPipe Malware ha un algoritmo personalizzato in grado di estrarre le password del database POS RES 3700 dal registro di Windows.

Il malware ModPipe ha una struttura modulare che consiste in un contagocce, a 32 bit o 64 bit a seconda del dispositivo compromesso, un caricatore di primo stadio e il payload effettivo del malware. La comunicazione tra i diversi moduli e l'infrastruttura di comando e controllo è facilitata dalla creazione di un "tubo". Al momento dell'esecuzione, ModPipe può raccogliere contenuti dai database PoS che includono etichette di stato e alcuni dettagli sulle transazioni PoS, specifiche sulla configurazione del sistema, ecc. Tuttavia, ciò che il malware non può ottenere a causa della crittografia implementata da RES 3700 sono i numeri di carta di credito e date di scadenza.

I ricercatori sono riusciti a identificare molti dei moduli utilizzati da ModPipe: l'algoritmo personalizzato che intercetta e decrittografa le password del database RES 3700 è contenuto in un modulo denominato "GetMicInfo", le informazioni PoS tramite la scansione IP vengono eseguite da "ModScan 2.20", mentre l'attuale l'elenco dei processi in esecuzione sul dispositivo compromesso viene monitorato da "ProcList". Va notato che le capacità minacciose di ModPipe potrebbero essere ulteriormente ampliate o aumentate attraverso il download di moduli malware aggiuntivi.