新型模块化 ModPipe POS 恶意软件针对餐厅和酒店业
网络安全研究人员发现了一种新的模块化PoS恶意软件,称为ModPipe,它针对Oracle的PoS餐馆管理软件。
ESET研究人员发现了一个名为ModPipe的新型模块化后门,该后门旨在运行ORACLE MICROS餐饮企业系列(RES)3700的PoS系统 ,这是一个广泛用于餐饮和酒店业的管理套件。
后门以其模块化结构而著称,可以实现高级功能。自2019年底ESET专家首次发现恶意软件的“基本”组件以来,它就意识到模块的存在。由专家分析的模块之一,名为GetMicInfo,实现了一种算法,该算法允许操作员通过从Windows注册表值中解密密码来收集数据库密码。
“让后门程序与众不同的是它的可下载模块及其功能,因为它包含一个自定义算法,该算法旨在通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” 读取ESET发布的分析。“这表明后门的作者对目标软件有深入的了解,并选择了这种复杂的方法,而不是通过诸如键盘记录之类的更简单但更“loude”的方法来收集数据。”
ModPipe过滤的凭证允许操作员访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。
尽管财务数据(例如信用卡号和有效期)受到RES 3700 POS系统中实施的加密的保护,但是威胁执行者可以使用另一个可下载的模块来解密数据库的内容。
“根据文档,为了实现这一目标,攻击者必须对“特定于站点的密码”的生成过程进行逆向工程,该过程用于导出敏感数据的加密密钥。然后必须将此过程实施到模块中,并且由于使用了Windows数据保护API(DPAPI),因此必须直接在受害者的计算机上执行该过程。” 继续分析。
ModPipe的模块化体系结构由基本组件和可下载模块组成:
- 初始删除程序 ,其中包含下一阶段持久性加载程序的二进制文件(32位和64位),并将适当的版本安装到受感染的计算机上。
- 持久性加载程序将解压缩并加载主模块的下一个阶段。
- *主模块 *是执行恶意软件主要功能的核心组件。它创建用于与其他恶意模块进行通信的管道,卸载/安装这些模块,并充当处理模块与攻击者的C&C服务器之间的通信的调度程序。
- *网络模块 *用于与C&C进行通信。
- 可下载模块 是旨在向后门添加特定功能的那些组件,例如能够窃取数据库密码和配置信息,扫描特定IP地址或获取正在运行的进程及其加载的模块的列表的功能。
ESET详细介绍的其他模块是“ ModScan 2.20”,用于收集有关已安装的POS系统的其他信息(例如,版本,数据库服务器数据),以及“ Proclist”,用于收集有关当前正在运行的进程的详细信息。
研究人员总结说:“ ModPipe的体系结构,模块及其功能也表明其编写者对目标RES 3700 POS软件具有广泛的了解。” “运营商的熟练程度可能来自多种情况,包括窃取专有软件产品并对其进行反向工程,滥用其泄漏的零件或从地下市场购买代码。”
