ModPipe Malware

Descrição do ModPipe Malware

ModPipe é uma nova cepa de malware que visa dispositivos Point-of-Sale (PoS), capazes de extrair vários tipos de dados deles. Embora o malware tenha sido projetado para afetar apenas um único pacote de software de gerenciamento - Oracle Micros Restaurant Enterprise Series (RES) 3700, é o suficiente para comprometer centenas de milhares de organizações que trabalham no setor de hospitalidade potencialmente. Na verdade, a Oracle descreve o RES 3700 como o "software de gerenciamento de restaurantes mais amplamente instalado no setor atualmente". O software pode gerenciar uma ampla gama de serviços, como programas de fidelidade, pagamentos móveis, dispositivos PoS, relatórios, promoções e inventário.

Os hackers por trás do ModPipe parecem ter um conhecimento extremamente profundo sobre o software de gerenciamento, evidenciado pelo fato de que o ModPipe Malware tem um algoritmo customizado capaz de extrair senhas do banco de dados RES 3700 POS do Registro do Windows.

O ModPipe Malware tem uma estrutura modular que consiste em um dropper - 32/bit ou 64/bit dependendo do dispositivo comprometido, um carregador de primeiro estágio e a carga real do malware. A comunicação entre os diferentes módulos e a infraestrutura de comando e controle é facilitada pela criação de um 'tubo'. Após a execução, o ModPipe pode coletar conteúdo de bancos de dados de PoS que incluem rótulos de status e certos detalhes sobre transações de PoS, especificações sobre a configuração do sistema, etc. No entanto, o que o malware não pode obter devido à criptografia implementada pelo RES 3700 são quaisquer números de cartão de crédito e datas de expiração.

Os pesquisadores conseguiram identificar vários dos módulos usados pelo ModPipe - o algoritmo personalizado que intercepta e descriptografa as senhas do banco de dados RES 3700 está contido em um módulo chamado 'GetMicInfo,' as informações de PoS através da varredura IP são realizadas por 'ModScan 2.20,' enquanto o atual lista de processos em execução no dispositivo comprometido está sendo monitorado por 'ProcList.' Deve-se observar que os recursos de ameaça do ModPipe podem ser ainda mais expandidos ou aumentados por meio do download de módulos de malware adicionais.