ModPipe Malware

Description de ModPipe Malware

ModPipe est une nouvelle souche de logiciels malveillants ciblant les appareils de point de vente (PoS) capables d'en extraire divers types de données. Bien que le logiciel malveillant ait été conçu pour n'affecter qu'une seule suite logicielle de gestion - Oracle Micros Restaurant Enterprise Series (RES) 3700, il est suffisant pour compromettre potentiellement des centaines de milliers d'entreprises travaillant dans le secteur de l'hôtellerie. En effet, Oracle décrit le RES 3700 comme «le logiciel de gestion de restaurant le plus largement installé dans l'industrie aujourd'hui». Le logiciel peut gérer une large gamme de services tels que les programmes de fidélité, les paiements mobiles, les appareils PoS, les rapports, les promotions et l'inventaire.

Les pirates derrière ModPipe semblent avoir une connaissance extrêmement approfondie du logiciel de gestion, comme en témoigne le fait que ModPipe Malware dispose d'un algorithme personnalisé capable d'extraire les mots de passe de la base de données RES 3700 POS à partir du registre Windows.

Le logiciel malveillant ModPipe a une structure modulaire qui se compose d'un compte-gouttes - soit un 32 / bit ou un 64 / bit en fonction de l'appareil compromis, un chargeur de premier niveau et la charge utile réelle du malware. La communication entre les différents modules et l'infrastructure de commande et contrôle est facilitée par la création d'un «tuyau». Lors de l'exécution, ModPipe peut récolter du contenu à partir de bases de données PoS qui incluent des étiquettes de statut et certains détails sur les transactions PoS, des détails sur la configuration du système, etc. dates de péremption.

Les chercheurs ont réussi à identifier plusieurs des modules utilisés par ModPipe - l'algorithme personnalisé qui intercepte et décrypte les mots de passe de la base de données RES 3700 est contenu dans un module nommé "GetMicInfo'', les informations PoS via l'analyse IP sont effectuées par "ModScan 2.20'', tandis que la liste des processus exécutés sur le périphérique compromis est surveillée par «ProcList». Il convient de noter que les capacités menaçantes de ModPipe pourraient être étendues ou augmentées grâce au téléchargement de modules malveillants supplémentaires.