新型模塊化 ModPipe POS 惡意軟件針對餐廳和酒店業
網絡安全研究人員發現了一種新的模塊化PoS惡意軟件,稱為ModPipe,它針對Oracle的PoS餐館管理軟件。
ESET研究人員發現了一個名為ModPipe的新型模塊化后門,該后門旨在運行ORACLE MICROS餐飲企業系列(RES)3700的PoS系統 ,這是一個廣泛用于餐飲和酒店業的管理套件。
后門以其模塊化結構而著稱,可以實現高級功能。自2019年底ESET專家首次發現惡意軟件的“基本”組件以來,它就意識到模塊的存在。由專家分析的模塊之一,名為GetMicInfo,實現了一種算法,該算法允許操作員通過從Windows注冊表值中解密密碼來收集數據庫密碼。
“讓后門程序與眾不同的是它的可下載模塊及其功能,因為它包含一個自定義算法,該算法旨在通過從Windows注冊表值中解密來收集RES 3700 POS數據庫密碼。” 讀取ESET發布的分析。“這表明后門的作者對目標軟件有深入的了解,并選擇了這種復雜的方法,而不是通過諸如鍵盤記錄之類的更簡單但更“loude”的方法來收集數據。”
ModPipe過濾的憑證允許操作員訪問數據庫內容,包括各種定義和配置,狀態表以及有關POS交易的信息。
盡管財務數據(例如信用卡號和有效期)受到RES 3700 POS系統中實施的加密的保護,但是威脅執行者可以使用另一個可下載的模塊來解密數據庫的內容。
“根據文檔,為了實現這一目標,攻擊者必須對“特定于站點的密碼”的生成過程進行逆向工程,該過程用于導出敏感數據的加密密鑰。然后必須將此過程實施到模塊中,并且由于使用了Windows數據保護API(DPAPI),因此必須直接在受害者的計算機上執行該過程。” 繼續分析。
ModPipe的模塊化體系結構由基本組件和可下載模塊組成:
- 初始刪除程序 ,其中包含下一階段持久性加載程序的二進制文件(32位和64位),并將適當的版本安裝到受感染的計算機上。
- 持久性加載程序將解壓縮并加載主模塊的下一個階段。
- *主模塊 *是執行惡意軟件主要功能的核心組件。它創建用于與其他惡意模塊進行通信的管道,卸載/安裝這些模塊,并充當處理模塊與攻擊者的C&C服務器之間的通信的調度程序。
- *網絡模塊 *用于與C&C進行通信。
- 可下載模塊 是旨在向后門添加特定功能的那些組件,例如能夠竊取數據庫密碼和配置信息,掃描特定IP地址或獲取正在運行的進程及其加載的模塊的列表的功能。
ESET詳細介紹的其他模塊是“ ModScan 2.20”,用于收集有關已安裝的POS系統的其他信息(例如,版本,數據庫服務器數據),以及“ Proclist”,用于收集有關當前正在運行的進程的詳細信息。
研究人員總結說:“ ModPipe的體系結構,模塊及其功能也表明其編寫者對目標RES 3700 POS軟件具有廣泛的了解。” “運營商的熟練程度可能來自多種情況,包括竊取專有軟件產品并對其進行反向工程,濫用其泄漏的零件或從地下市場購買代碼。”
