ModPipe Malware

ModPipe Malware Beschrijving

ModPipe is een nieuwe soort malware die zich richt op Point-of-Sale (PoS) -apparaten die er verschillende datatypes uit kunnen halen. Hoewel de malware is ontworpen om slechts één enkele beheersoftwaresuite te beïnvloeden - Oracle Micros Restaurant Enterprise Series (RES) 3700, is het voldoende om honderdduizenden organisaties die werkzaam zijn in de horeca in gevaar te brengen. Oracle beschrijft de RES 3700 inderdaad als de "meest geïnstalleerde restaurantbeheersoftware in de branche". De software kan een breed scala aan diensten beheren, zoals loyaliteitsprogramma's, mobiele betalingen, PoS-apparaten, rapporten, promoties en inventaris.

De hackers achter ModPipe lijken extreem diepgaande kennis te hebben over de beheersoftware, wat blijkt uit het feit dat de ModPipe Malware een op maat gemaakt algoritme heeft dat in staat is RES 3700 POS-databasewachtwoorden uit het Windows-register te extraheren.

De ModPipe Malware heeft een modulaire structuur die bestaat uit een druppelaar - ofwel een 32 / bit of een 64 / bit, afhankelijk van het gecompromitteerde apparaat, een first-stage loader en de daadwerkelijke malware-payload. De communicatie tussen de verschillende modules en de Command-and-Control-infrastructuur wordt vergemakkelijkt door een 'pipe' te creëren. Na uitvoering kan ModPipe inhoud verzamelen van PoS-databases die statuslabels en bepaalde details over PoS-transacties, specifieke informatie over de systeemconfiguratie, enz. Bevatten. Wat de malware echter niet kan verkrijgen vanwege de codering geïmplementeerd door RES 3700, zijn creditcardnummers en houdbaarheids datums.

Onderzoekers zijn erin geslaagd verschillende van de modules te identificeren die door ModPipe worden gebruikt - het aangepaste algoritme dat RES 3700-databasewachtwoorden onderschept en ontsleutelt, zit in een module met de naam 'GetMicInfo', PoS-informatie via IP-scanning wordt uitgevoerd door 'ModScan 2.20', terwijl de huidige lijst met processen die op het gecompromitteerde apparaat worden uitgevoerd, wordt gecontroleerd door 'ProcList'. Opgemerkt moet worden dat de bedreigende mogelijkheden van ModPipe verder kunnen worden uitgebreid of vergroot door het downloaden van extra malwaremodules.