Nowy malware ModPipe atakuje punkty transakcji bezgotówkowych

Architektura ModPipe składa się z początkowego „droppera” używanego do instalowania trwałego modułu ładującego, który następnie rozpakowuje i ładuje do pamięci kod z kolejnego etapu – główny moduł złośliwego oprogramowania, który jest używany do nawiązywania komunikacji z innymi modułami „do pobrania” oraz serwerem Command & Control za pośrednictwem samodzielnego modułu sieciowego. Wszystko przedstawione zostało na schemacie powyżej.

Wśród dostępnych do pobrania modułów jest między innymi „GetMicInfo”, komponent, który może przechwytywać i odszyfrowywać hasła do bazy danych przy użyciu specjalnego algorytmu, który według teorii specjalistów z ESET mógł zostać zaimplementowany poprzez inżynierię wsteczną bibliotek kryptograficznych lub wykorzystanie uzyskanych szczegółów implementacji szyfrowania w następstwie naruszenia bezpieczeństwa danych w oddziale MICROS POS firmy Oracle w 2016 r. Innego wytłumaczenia na złamanie szyfrowania raczej nie ma.

Drugi moduł o nazwie „ModScan 2.20” służy do zbierania dodatkowych informacji o zainstalowanym systemie POS (np. wersja, dane serwera bazy danych, strefa czasowa), podczas gdy inny moduł o nazwie „Proclist” gromadzi szczegółowe informacje o aktualnie uruchomionych procesach.

Architektura, moduły i możliwości ModPipe wskazują również, że jego twórcy dysponują rozległą wiedzą na temat docelowego oprogramowania POS w standardzie RES 3700. Biegłość operatorów może wynikać z wielu scenariuszy, w tym kradzieży i inżynierii wstecznej, niewłaściwego wykorzystania jego części, które wyciekły lub kupowania kodu na czarnym rynku.

Firmom z branży hotelarskiej i restauracyjnej, które używają RES 3700 POS, zaleca się aktualizację oprogramowania do najnowszej wersji, a także korzystanie z urządzeń z zaktualizowanymi wersjami podstawowego systemu operacyjnego. Wykorzystanie podatności przez cyberprzestępców może skończyć się kradzieżą danych osobowych, a także danych kart kredytowych klientów.