ESET annuncia di aver scoperto la backdoor ModPipe, una variante modulare che consente l’accesso alle informazioni riservate archiviate nei dispositivi che utilizzano il software Oracle Micros Restaurant Enterprise Series (RES) 3700, Questo software di gestione è utilizzato in decine di migliaia di bar, ristoranti, hotel e altri stabilimenti in tutto il mondo.
Ciò che distingue ModPipe dalle altre backdoor sono le sue capacità, ma soprattutto che i suoi moduli sono scaricabili. Inoltre, contiene un algoritmo personalizzato che è stato progettato per raccogliere tutte le password dal database del software, decrittografandole dai valori nel registro di Windows. Questo significa che i criminali informatici che l’hanno creata hanno una vasta conoscenza del software e che hanno preferito utilizzare questo metodo invece di raccogliere i dati con una tecnica più semplice, ma più sorprendente, come un registro dei tasti. Le credenziali ottenute dai criminali consentono l’accesso al contenuto del database, comprese definizioni, configurazioni, tabelle di stato e informazioni sulle transazioni.
“Secondo la documentazione del programma, i criminali informatici non dovrebbero avere accesso ad alcuni dei dati più riservati, come i dettagli della carta di credito, poiché questo tipo di informazioni è protetto da tecniche di crittografia. Gli unici dati memorizzati che dovrebbero essere accessibili ai criminali sono i nomi dei titolari della carta “, avverte Martin Smolár, il ricercatore ESET che ha scoperto ModPipe. “Probabilmente la cosa più interessante di questo malware sono i suoi moduli scaricabili. Conoscevamo la sua esistenza dalla fine del 2019, quando l’abbiamo osservata per la prima volta e analizzato le sue componenti di base ”.
I moduli scaricabili dalla backdoor ModPipe
I moduli che la backdoor scarica in autonomia sono:
- GetMicInfo, che mira a ottenere dati relativi al software, comprese le password relative ai nomi utente di due database predefiniti dal produttore. Questo modulo può intercettare e decrittografare le password del database utilizzando un algoritmo appositamente progettato per esso.
- ModScan 2.20, che raccoglie informazioni aggiuntive sull’ambiente POS MICROS installato sulle macchine, scansionando indirizzi IP selezionati.
- ProcList, il cui scopo principale è raccogliere informazioni sui processi in esecuzione sulla macchina.
“L’architettura, i moduli e le funzionalità che la backdoor ModPipe presenta indicano anche che gli sviluppatori di questo malware hanno una conoscenza approfondita del software POS RES 3700. Le competenze mostrate includono vari scenari, dal furto di dati all’uso di tecniche di reverse engineering , uso dannoso delle parti di codice trapelate o addirittura l’acquisto di codice in mercati clandestini ”, aggiunge Smolár.
Per evitare di essere vittime di questo malware, ESET consiglia a tutte le aziende che utilizzano RES 3700 di scaricare l’ultima versione del programma, utilizzarla solo su dispositivi con sistemi operativi aggiornati e proteggersi con soluzioni di sicurezza multilivello in grado di rilevare sia questo malware che altre minacce simili.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!