Header Ads Widget

Ticker

6/recent/ticker-posts

ModPipe: un malware modular que compromete los sistemas PoS de Oracle en la naturaleza

 Los investigadores de ESET han documentado un nuevo malware llamado ModPipe , que está robando las contraseñas de la base de datos de los sistemas Micros RES 3700 PoS de Oracle . La especialidad de este malware es tener una arquitectura modular, donde tiene casi siete módulos, todos con diferentes propósitos . Si bien aún se desconoce cómo está comprometiendo los sistemas, los investigadores describieron su mecanismo.

Un nuevo malware modular en estado salvaje

Malware ModPipe
Malware ModPipe

Según un informe de ESET , un nuevo malware modular llamado ModPipe se dirige a los sistemas Oracle PoS. Más específicamente, está afectando a los modelos Micros RES 3700 de Oracle ampliamente utilizados por las empresas de la industria hotelera.

Este malware es único en su tipo ya que tiene varios módulos, lo que le permite agregar más funciones mediante componentes descargables.

Si bien los investigadores encontraron algunos componentes básicos a fines de 2019, enumeraron tres módulos descargables utilizados por ModPipe para procesar su trabajo. Estos son;

GetMicInfo : por robar las contraseñas de la base de datos y otros datos.

ModScan : para ejecutar análisis en direcciones IP definidas por el pirata informático.

ProcList : para enumerar todos los procesos en ejecución y sus módulos.

Arquitectura ModPipe
Arquitectura ModPipe

Además de estos tres, los investigadores dicen que podría haber cuatro módulos más que aún no se han documentado. Si bien aún se desconoce cómo este malware está comprometiendo los sistemas PoS, se describe el mecanismo por el que pasa.

Supongamos que tiene inicialmente un cuentagotas, un cargador persistente, el módulo principal, un módulo de red y componentes descargables. Hablando en detalle sobre los tres componentes conocidos, GetMicInfo es un ladrón de contraseñas que explota el descifrado de la clave del Registro de Windows.

Desafortunadamente, el mecanismo de descifrado de GetMicInfo también está por explicar. Aunque roba la contraseña para acceder a la base de datos, los investigadores dicen que los datos aún podrían estar seguros. Los detalles confidenciales, como el número de la tarjeta y el código CVV, están encriptados y requieren que el pirata informático conozca la paráfrasis y la establezca en su malware para descifrar y recuperar.

Esto sucedió de todos modos, insinuando que el pirata informático puede haber realizado ingeniería inversa en el funcionamiento de los sistemas PoS para aprender cómo están cifrados y descifrados, o configurando otro módulo para descifrar la contraseña o comprarla en el foro clandestino, que podría haber sido recopilado de una anterior. cortar a tajos.

Si bien todavía hay mucho que aprender sobre este primer componente, el siguiente en la fila, ModScan, está destinado a recopilar datos sobre el entorno de PoS mediante el escaneo de las direcciones IP que se están definiendo. Estos podrían ser el número de versión de Oracle Micros RES 3700, el nombre de la base de datos y los datos del servidor de la base de datos.

Finalmente, ProcList está designado para obtener detalles sobre los procesos que se ejecutan actualmente en el sistema de destino. Estos podrían ser como el identificador de proceso (PID), el PID del proceso principal, el número de subprocesos, el propietario del token, el dominio del token, el tiempo de creación del proceso y la línea de comando.

Publicar un comentario

0 Comentarios