Malware ModPipe

Malware ModPipe Descripción

ModPipe es una nueva variedad de malware dirigido a dispositivos de punto de venta (PoS) capaz de extraer varios tipos de datos de ellos. Aunque el malware ha sido diseñado para afectar solo a una suite de software de gestión singular: Oracle Micros Restaurant Enterprise Series (RES) 3700, es suficiente para comprometer potencialmente a cientos de miles de organizaciones que trabajan en el sector hotelero. De hecho, Oracle describe el RES 3700 como "el software de gestión de restaurantes más instalado en la industria actual". El software puede gestionar una amplia gama de servicios como programas de fidelización, pagos móviles, dispositivos PoS, informes, promociones e inventario.

Los piratas informáticos detrás de ModPipe parecen tener un conocimiento extremadamente profundo sobre el software de administración, evidenciado por el hecho de que ModPipe Malware tiene un algoritmo personalizado capaz de extraer las contraseñas de la base de datos RES 3700 POS del Registro de Windows.

El ModPipe Malware tiene una estructura modular que consta de un cuentagotas, ya sea de 32 bits o de 64 bits, según el dispositivo comprometido, un cargador de primera etapa y la carga útil real del malware. La comunicación entre los diferentes módulos y la infraestructura de comando y control se facilita mediante la creación de una "tubería". Tras la ejecución, ModPipe puede recolectar contenido de bases de datos de PoS que incluyen etiquetas de estado y ciertos detalles sobre transacciones de PoS, detalles sobre la configuración del sistema, etc. Sin embargo, lo que el malware no puede obtener debido al cifrado implementado por RES 3700 son números de tarjetas de crédito y fechas de vencimiento.

Los investigadores han logrado identificar varios de los módulos utilizados por ModPipe: el algoritmo personalizado que intercepta y descifra las contraseñas de la base de datos RES 3700 está contenido en un módulo llamado 'GetMicInfo', la información de PoS a través del escaneo de IP se realiza mediante 'ModScan 2.20', mientras que el actual "ProcList" supervisa la lista de procesos que se ejecutan en el dispositivo comprometido. Cabe señalar que las capacidades amenazantes de ModPipe podrían ampliarse o aumentarse aún más mediante la descarga de módulos de malware adicionales.