ModPipe POS-терминал Oracle вредоносное ПО
Модуль вредоноса содержит алгоритм для сбора паролей баз данных путем их расшифровки из значений реестра Windows.
Киберпреступники разработали бэкдор ModPipe для осуществления атак на ресторанные PoS-решения от Oracle. По мнению исследователей из ESET, вредонос отличается необычной сложностью, о чем свидетельствуют многочисленные модули.
Бэкдор специально создан для атак на Oracle MICROS Restaurant Enterprise Series (RES) 3700 — пакет программного обеспечения для управления PoS-терминалами, используемый сотнями тысяч баров, ресторанов и отелей по всему миру. По словам экспертов, киберпреступники в основном атакуют ресторанные заведения в США.
Один из загружаемых модулей вредоносного ПО, получивший название GetMicInfo, обнаруживает и похищает учетные данные, позволяющие операторам ModPipe получать доступ к содержимому базы данных, включая различные определения и данные конфигурации, таблицы состояния и информацию о транзакциях PoS-терминала.
«Модуль содержит алгоритм, разработанный для сбора паролей баз данных путем их расшифровки из значений реестра Windows. Разработчики бэкдора обладают глубокими познаниями о целевом программном обеспечении жертв и выбрали данный сложный метод вместо сбора данных с помощью более простого, но «более громкого» подхода, такого как кейлоггинг», — отметили специалисты.
Тем не менее, информация базы данных, которую похищает модуль, не содержит номера кредитных карт клиентов заведений. В данном случае злоумышленники могут получить доступ только к именам владельцев карт. Эксперты предполагают, что существует еще один загружаемый модуль, позволяющий операторам вредоносного ПО расшифровывать более конфиденциальные данные.
Основной модуль загрузчика создает канал, используемый для связи с другими вредоносными модулями, а также отвечает за их реализацию и обеспечивает соединение с C&C-сервером злоумышленников.
Кроме того, существует ряд других загружаемых модулей для добавления определенных функций в бэкдор. Два компонента могут сканировать определенные IP-адреса или получать список запущенных процессов на устройстве. Операторы вредоноса также используют как минимум четыре других загружаемых модуля, функциональность которых пока полностью неизвестна.
Источник: