Análisis de ESET: Backdoor ModPipe se infiltra específicamente en el sistema POS de Oracle. El programa malicioso ataca el popular sistema POS para restaurantes.
Los ciberdelincuentes están utilizando la puerta trasera ModPipe para atacar los sistemas POS de punto de venta (POS) ORACLE MICROS Restaurant Enterprise Sales (RES) 3700. El sistema es una suite de software de gestión generalizada que es utilizada por cientos de miles en establecimientos gastronómicos como bares, restaurantes u hoteles. ModPipe tiene una estructura modular y se puede adaptar de forma flexible a la ubicación respectiva. Después de una infección exitosa, los atacantes obtienen acceso a la información confidencial del operador, como datos personales o datos de transacciones. Los investigadores de ESET ahora han publicado su extenso análisis en WeLiveSecurity.
Backdoor tiene una estructura modular
"La estructura de ModPipe indica que los desarrolladores detrás del malware tienen un amplio conocimiento del sistema POS RES 37000", explica el investigador de ESET Martin Smolár, quien descubrió ModPipe. “Encontramos y analizamos sus componentes básicos por primera vez en 2019. Estos obviamente han sido mejorados. "
Lo que hace que la puerta trasera sea tan especial son los módulos descargables. ModPipe incluye un algoritmo personalizado que recopila las contraseñas de la base de datos de POS RES 3700. Para ello, descifra los valores del registro de Windows, lo que subraya el profundo conocimiento que tienen los atacantes del sistema POS. Eligieron un método tan sofisticado en lugar de recopilar los datos a través de un enfoque más simple pero también más obvio, como el registro de teclas. Las credenciales filtradas permiten a los operadores detrás del programa malicioso acceder al contenido de la base de datos, incluidas varias configuraciones, tablas de estado e información sobre transacciones de POS. Sin embargo, con la variante analizada de ModPipe, los atacantes no obtienen acceso a datos confidenciales como números de tarjetas de crédito y fechas de vencimiento. Esta información está protegida adicionalmente por encriptación. Por lo tanto, el objetivo de los atacantes sigue sin estar claro porque reciben poca información valiosa. Los investigadores de ESET sospechan que existe otro módulo descargable que permite a los delincuentes descifrar los datos más confidenciales.
Qué deben hacer los usuarios del sistema POS
Para mantener a raya a los operadores detrás de ModPipe, se recomienda a las partes interesadas de la industria hotelera, así como a cualquier otra empresa que utilice el POS RES 3700, que hagan lo siguiente:
- Se debe instalar la última versión del software POS.
- En general, es elemental que el sistema operativo y demás software instalado en los dispositivos utilizados esté siempre actualizado.
- Se debe utilizar un software de seguridad confiable de varias capas que detecte ModPipe y amenazas similares.
Más información en WeLiveSecurity en ESET.com