Malware modular que compromete Oracle PoS en sistemas Wild

Los investigadores de ESET han documentado un nuevo malware llamado ModPipe, que está robando contraseñas de Sistemas Oracle Micros 3700 PoS. La especialidad de este malware es tener una arquitectura modular, donde tiene casi siete módulos, todos con diferentes propósitos. Aunque aún no se sabe cómo se están comprometiendo los sistemas, los investigadores describieron su mecanismo.

Un nuevo malware modular en la naturaleza

Malware ModPipe
Malware ModPipe

De acuerdo con informe del ESET, un nuevo malware modular llamado ModPipe se dirige a los sistemas Oracle PoS. Más específicamente, está alcanzando Micros RES 3700 de Oracle modelos muy utilizados por empresas del sector hotelero.

Este malware es único porque tiene varios módulos, lo que le permite agregar más recursos mediante componentes descargables.

Aunque los investigadores encontraron algunos componentes básicos a fines de 2019, enumeraron tres módulos descargables utilizados por ModPipe para procesar su trabajo. Esos son;

GetMicInfo – para robar contraseñas de la base de datos y otros datos.

ModScan – para realizar escaneos en direcciones IP definidas por el pirata informático.

ProcList – para enumerar todos los procesos en ejecución y sus módulos.

Arquitectura ModPipe
Arquitectura ModPipe

Además de estos tres, los investigadores dicen que puede haber cuatro módulos más que aún no se han documentado. Aunque aún se desconoce cómo este malware está comprometiendo los sistemas PoS, se describe el mecanismo por el que pasa.

Supongamos que inicialmente hay un cuentagotas, un cargador persistente, el módulo principal, un módulo de red y componentes descargables. Hablando en detalle sobre los tres componentes conocidos, GetMicInfo es un ladrón de contraseñas que aprovecha el descifrado de la clave de registro de Windows.

Desafortunadamente, el mecanismo de descifrado de GetMicInfo tampoco se ha explicado. Mientras roban la contraseña para acceder a la base de datos, los investigadores dicen que los datos aún pueden estar seguros. Los detalles confidenciales, como el número de tarjeta y el código CVV, están encriptados y requieren que el pirata informático conozca la paráfrasis y la coloque en su malware para romperla y recuperarla.

Esto sucedió de todos modos, lo que sugiere que el pirata informático puede haber realizado ingeniería inversa del funcionamiento de los sistemas PoS para averiguar cómo se cifran y descifrar, o configurando otro módulo para descifrar la contraseña o comprarla en el foro clandestino, que podría haberse obtenido de un truco anterior.

Si bien todavía hay mucho que aprender sobre este primer componente, el siguiente en línea, ModScan, se utiliza para recopilar datos sobre el entorno de PoS comprobar las direcciones IP que se están configurando. Este puede ser el número de versión de Oracle Micros RES 3700, el nombre de la base de datos y los datos del servidor de la base de datos.

Finalmente, ProcList está diseñado para obtener detalles sobre los procesos que se está ejecutando actualmente en el sistema de destino. Pueden ser como el identificador de proceso (PID), el PID del proceso principal, el número de subprocesos, el propietario del token, el dominio del token, el tiempo de creación del proceso y la línea de comando.

Artículos relacionados