Análise ESET: Backdoor ModPipe se infiltra especificamente no sistema POS da Oracle. Programa malicioso ataca sistema popular de POS para restaurantes.
Os criminosos cibernéticos estão usando o backdoor ModPipe para atingir os sistemas POS de Ponto de Venda (POS) 3700 do ORACLE MICROS Restaurant Enterprise Sales (RES). O sistema é um conjunto de software de gestão amplamente difundido, utilizado por centenas de milhares em estabelecimentos gastronômicos como bares, restaurantes ou hotéis. O ModPipe tem uma estrutura modular e pode ser adaptado de forma flexível ao respectivo local. Após uma infecção bem-sucedida, os invasores obtêm acesso às informações confidenciais do operador, como dados pessoais ou dados de transações. Os pesquisadores da ESET publicaram agora sua extensa análise no WeLiveSecurity.
Backdoor tem uma estrutura modular
"A estrutura do ModPipe indica que os desenvolvedores por trás do malware têm amplo conhecimento do sistema RES 37000 POS", explica o pesquisador da ESET Martin Smolár, que descobriu o ModPipe. “Encontramos e analisamos seus componentes básicos pela primeira vez em 2019. Estes foram obviamente melhorados. "
O que torna o backdoor tão especial são os módulos para download. ModPipe inclui um algoritmo personalizado que coleta senhas de banco de dados RES 3700 POS. Para fazer isso, ele descriptografa os valores do registro do Windows, o que reforça o profundo conhecimento dos invasores sobre o sistema POS. Eles escolheram um método tão sofisticado em vez de coletar os dados por meio de uma abordagem mais simples, mas também mais óbvia, como o keylogging. As credenciais vazadas permitem que os operadores por trás do programa malicioso acessem o conteúdo do banco de dados, incluindo várias configurações, tabelas de status e informações sobre transações de PDV. No entanto, com a variante analisada do ModPipe, os invasores não obtêm acesso a dados confidenciais, como números de cartão de crédito e datas de validade. Esta informação é adicionalmente protegida por criptografia. O alvo dos invasores, portanto, permanece incerto porque eles recebem poucas informações valiosas. Os pesquisadores da ESET suspeitam que existe outro módulo para download que permite aos criminosos descriptografar os dados mais confidenciais.
O que os usuários do sistema POS devem fazer
Para manter os operadores por trás do ModPipe sob controle, as partes interessadas no setor de hospitalidade, bem como qualquer outro negócio que use o RES 3700 POS, são aconselhados a fazer o seguinte:
- A versão mais recente do software POS deve ser instalada.
- Em geral, é elementar que o sistema operacional e demais softwares instalados nos dispositivos utilizados estejam sempre atualizados.
- Software de segurança confiável e multicamada que detecta ModPipe e ameaças semelhantes deve estar em uso.
Saiba mais em WeLiveSecurity em ESET.com