Ερευνητές ασφαλείας ανακάλυψαν ένα νέο Point-of-Sale (PoS) malware που στοχεύει συσκευές που χρησιμοποιούνται από “εκατοντάδες χιλιάδες” οργανισμούς στον κλάδο των υπηρεσιών φιλοξενίας (ξενοδοχεία κλπ). Το νέο malware ονομάστηκε ModPipe και είναι ένα backdoor που μπορεί να συλλέγει ευαίσθητες πληροφορίες από συσκευές PoS που τρέχουν το Oracle Micros Restaurant Enterprise Series (RES) 3700. Πρόκειται για ένα λογισμικό διαχείρισης που είναι ιδιαίτερα δημοφιλές στις Ηνωμένες Πολιτείες.
Σύμφωνα με την Oracle, το RES 3700 είναι “το πιο διαδεδομένο λογισμικό διαχείρισης εστιατορίων στη βιομηχανία σήμερα”. Το software suite διαχειρίζεται PoS, προγράμματα επιβράβευσης για τους πιο “αφοσιωμένους πελάτες”, αναφορές, αποθέματα, διαφημίσεις/προώθηση και πληρωμές μέσω κινητού.
Ερευνητές ασφαλείας της ESET δήλωσαν ότι οι χειριστές του ModPipe malware πιθανότατα γνωρίζουν καλά το συγκεκριμένο λογισμικό, καθώς το malware τους περιέχει έναν custom αλγόριθμο που έχει σχεδιαστεί για τη συλλογή κωδικών πρόσβασης βάσεων δεδομένων RES 3700 POS.
Πρόκειται για μια άμεση και προσεγμένη επίθεση που διαφέρει από τις συνηθισμένες επιθέσεις που χρησιμοποιούν, επίσης, PoS malware. Συνήθως, οι επιτιθέμενοι προσπαθούν να κάνουν keylogging ή card skimming επιθέσεις.
Εναλλακτικά, οι επιτιθέμενοι μπορεί να έκλεψαν το λογισμικό και να έκαναν reverse-engineering μετά από μια παραβίαση δεδομένων, που έλαβε χώρα το 2016 στο τμήμα PoS της Oracle.
Οι ερευνητές της ESET είπαν πως μόλις εκτελεστεί το ModPipe malware σε μια συσκευή PoS, αποκτά πρόσβαση στα περιεχόμενα της βάσης δεδομένων (διαμόρφωση συστήματος, πίνακες κατάστασης και ορισμένα δεδομένα PoS που σχετίζονται με συναλλαγές). Ωστόσο, το malware (στη βασική του μορφή) μάλλον δεν μπορεί να κλέψει αριθμούς πιστωτικών καρτών (ούτε να δει την ημερομηνία λήξης τους).
Αυτές οι ευαίσθητες πληροφορίες προστατεύονται από πρότυπα κρυπτογράφησης που εφαρμόζονται από το RES 3700. Επομένως, τα μόνα δεδομένα καρτών που επηρεάζονται, είναι τα ονόματα των κατόχων.
Το ModPipe malware αποτελείται από ένα 32/64-bit dropper, ένα loader και το κύριο payload που δημιουργεί έναν “σωλήνα” που χρησιμοποιείται για τη σύνδεση με άλλα κακόβουλα modules, ενώ επιτρέπει και την επικοινωνία μεταξύ του κακόβουλου λογισμικού και ενός C2 .
Το ModPipe μπορεί, επίσης, να κατεβάσει πρόσθετα κακόβουλα modules από τον command-and-control (C2) server του επιτιθέμενου.
Η ESET ανακάλυψε μερικά από αυτά τα modules:
- GetMicInfo: περιέχει τον custom αλγόριθμο και παρακολουθεί και αποκρυπτογραφεί κωδικούς πρόσβασης βάσης δεδομένων.
- ModScan 2.20: συλλέγει πληροφορίες PoS με σάρωση διευθύνσεων IP.
- ProcList: παρακολουθεί τις τρέχουσες διαδικασίες
Τα περισσότερα PoS malware προσπαθούν να αποκτήσουν πρόσβαση στα δεδομένα των καρτών πληρωμής επισκεπτών ή πελατών, καθώς αυτές είναι οι πιο πολύτιμες πληροφορίες που θα επεξεργαστεί μια συσκευή PoS. Επομένως, πρέπει να υπάρχει και ένα module για την αποκρυπτογράφηση αυτών των στοιχείων. Η ESET λέει ότι μπορεί να υπάρχει ένα τέτοιο module αλλά δεν έχει ακόμα βρεθεί.
Οι ερευνητές δεν έχουν ανακαλύψει ακόμα τον τρόπο με τον οποίο διανέμεται το κακόβουλο λογισμικό. Ωστόσο, οι περισσότερες μολύνσεις έχουν εντοπιστεί στις ΗΠΑ.
Πηγή: ZDNet