I ricercatori di Eset hanno individuato ModPipe, un malware a struttura modulare che fornisce agli hacker l’accesso a informazioni sensibili archiviate in dispositivi supportati da Oracle Micros Restaurant Enterprise Series (Res) 3700 Pos (point-of-sale), una suite di software gestionale usata da centinaia di migliaia di bar, ristoranti, alberghi e altre strutture ricettive in tutto il mondo. La maggior parte degli obiettivi identificati è situata dagli Stati Uniti.
A rendere particolare questo malware sono i moduli scaricabili e le caratteristiche, in quanto contiene un algoritmo personalizzato per sottrarre le password del database Res 3700 Pos, decriptandole dai valori del registro di Windows. Questo dimostra quanto gli hacker conoscano il software attaccato, tanto da scegliere questo metodo sofisticato invece di raccogliere i dati attraverso un approccio più semplice ma “più forte”, come il keylogging. Le credenziali così estratte consentono ai criminali informatici di ModPipe di accedere ai contenuti del database, incluse varie definizioni e configurazioni, tabelle di stato e informazioni sulle transazioni Pos.
“Tuttavia, sulla base della documentazione di Res 3700 Pos, gli hacker non dovrebbero essere in grado di accedere alla maggior parte delle informazioni sensibili, come il numero della carta di credito e la data di scadenza, che sono protette dalla crittografia. L’unico dato del cliente memorizzato in chiaro e dunque a loro disposizione dovrebbe essere il nome del proprietario della carta”, afferma Martin Smolár, il ricercatore di Eset che ha scoperto ModPipe. “Probabilmente le parti più interessanti di ModPipe sono i suoi moduli scaricabili. Siamo a conoscenza della loro esistenza dalla fine del 2019, quando abbiamo scoperto il malware e abbiamo analizzato i suoi componenti base”.
I moduli scaricabili sono tre. GetMicInfo prende di mira i dati relativi a Micros Pos, incluse le password legate ai due database di nomi utente predefiniti dal produttore. Questo modulo può intercettare e decriptare queste password usando un algoritmo specificatamente predisposto. Il secondo è ModScan 2.20, che raccoglie ulteriori informazioni sull’ambiente Micros Pos installato sui dispositivi, attraverso l’analisi degli indirizzi IP selezionati. Infine c’è ProcList, che ha lo scopo di mettere insieme informazioni sui processi attualmente in esecuzione sui device.