Analisi ESET: Backdoor ModPipe si infiltra specificamente nel sistema POS di Oracle. Il programma dannoso attacca il popolare sistema POS per i ristoranti.
I criminali informatici stanno utilizzando la backdoor ModPipe per prendere di mira i sistemi POS Point-of-Sale (POS) 3700 di ORACLE MICROS Restaurant Enterprise Sales (RES). Il sistema è una diffusa suite di software gestionali utilizzata da centinaia di migliaia di esercizi gastronomici come bar, ristoranti o alberghi. ModPipe ha una struttura modulare e può essere adattato in modo flessibile alla rispettiva posizione. Dopo un'infezione riuscita, gli aggressori ottengono l'accesso alle informazioni riservate dell'operatore come i dati personali oi dati delle transazioni. I ricercatori ESET hanno ora pubblicato la loro ampia analisi su WeLiveSecurity.
Backdoor ha una struttura modulare
"La struttura di ModPipe indica che gli sviluppatori dietro il malware hanno una vasta conoscenza del sistema POS RES 37000", spiega il ricercatore ESET Martin Smolár, che ha scoperto ModPipe. “Abbiamo trovato e analizzato i suoi componenti di base per la prima volta nel 2019. Questi sono stati ovviamente migliorati. "
Ciò che rende la backdoor così speciale sono i moduli scaricabili. ModPipe include un algoritmo personalizzato che raccoglie le password del database POS RES 3700. Per fare ciò, decifra i valori del registro di Windows, il che sottolinea la profonda conoscenza del sistema POS da parte degli aggressori. Hanno scelto un metodo così sofisticato invece di raccogliere i dati tramite un approccio più semplice ma anche più ovvio come il keylogging. Le credenziali trapelate consentono agli operatori dietro il programma dannoso di accedere ai contenuti del database, incluse varie configurazioni, tabelle di stato e informazioni sulle transazioni POS. Tuttavia, con la variante analizzata di ModPipe, gli aggressori non ottengono l'accesso a dati sensibili come numeri di carte di credito e date di scadenza. Queste informazioni sono inoltre protette dalla crittografia. L'obiettivo degli aggressori rimane quindi poco chiaro perché ricevono poche informazioni preziose. I ricercatori ESET sospettano che esista un altro modulo scaricabile che consente ai criminali di decrittografare i dati più sensibili.
Cosa dovrebbero fare gli utenti del sistema POS
Per tenere sotto controllo gli operatori dietro ModPipe, le parti interessate nel settore dell'ospitalità, così come qualsiasi altra attività che utilizza il POS RES 3700, sono invitate a fare quanto segue:
- Deve essere installata l'ultima versione del software POS.
- In generale, è fondamentale che il sistema operativo e gli altri software installati sui dispositivi utilizzati siano sempre aggiornati.
- Dovrebbe essere in uso un software di sicurezza affidabile e multilivello che rilevi ModPipe e minacce simili.
Scopri di più su WeLiveSecurity su ESET.com