Backdoor vulnera el software de Oracle para restaurantes

Aunque el malware modular es altamente sofisticado no est谩 en condiciones de extraer informaci贸n de tarjetas de cr茅dito.

ESET anuncia haber descubierto ModPipe, backdoor modular que permite el acceso a la informaci贸n confidencial almacenada en los dispositivos de punto de venta ORACLE MICROS Restaurant Enterprise Series (RES) 3700, un software de gesti贸n utilizado en decenas de miles de bares, restaurantes, hoteles y otros establecimientos en todo el mundo.

Lo que distingue a ModPipe de otras backdoors son sus capacidades y que sus m贸dulos son descargables. Adem谩s, contiene un algoritmo personalizado que ha sido dise帽ado para recopilar todas las contrase帽as de la base de datos del software, descifr谩ndolas desde valores en el registro de Windows. Esto significa que los ciberdelincuentes tienen un conocimiento amplio del software y que han preferido utilizar este m茅todo en lugar de recoger los datos a partir de alguna t茅cnica m谩s sencilla, aunque m谩s llamativa, como pudiera ser un registro de las pulsaciones. Las credenciales conseguidas por los delincuentes permiten el acceso al contenido de la base de datos, incluyendo definiciones, configuraciones, tablas de estado e informaci贸n sobre transacciones.

鈥淪eg煤n la documentaci贸n del programa, los ciberdelincuentes no deber铆an tener acceso a algunos de los datos m谩s confidenciales, como los detalles de las tarjetas de cr茅dito, ya que este tipo de informaci贸n est谩 protegido por t茅cnicas de cifrado. Los 煤nicos datos almacenados que deber铆an ser accesibles por los delincuentes son los nombres de los titulares de las tarjetas鈥, advierte Martin Smol谩r, el investigador de ESET que ha descubierto ModPipe. 鈥淧robablemente, lo m谩s interesante de este malware sean sus m贸dulos descargables. Conoc铆amos de su existencia desde finales de 2019, cuando lo observamos por primera vez y analizamos sus componentes b谩sicos鈥.

Los m贸dulos descargables de ModPipe son:
GetMicInfo, que tiene como objetivo conseguir datos relacionados con el software, incluyendo las contrase帽as relacionadas con los nombres de usuario de dos bases de datos predefinidas por el fabricante. Este m贸dulo puede interceptar y descifrar las contrase帽as de la base de datos utilizando un algoritmo especialmente dise帽ado para ello. ModScan 2.20, que recopila informaci贸n adicional sobre el entorno MICROS POS instalado en las m谩quinas, mediante el escaneo de direcciones IP seleccionadas. ProcList, cuyo objetivo principal es recopilar informaci贸n sobre los procesos que se est谩n ejecutando en la m谩quina.

鈥淟a arquitectura, los m贸dulos y las capacidades que presenta ModPipe indican tambi茅n que los desarrolladores de este malware tienen un conocimiento profundo sobre el software POS RES 3700. Las competencias mostradas incluyen varios escenarios, desde el robo de datos al uso de t茅cnicas de ingenier铆a inversa, utilizaci贸n maliciosa de las partes de c贸digo filtradas o incluso la compra de c贸digo en los mercados clandestinos鈥, a帽ade Smol谩r.

Para evitar ser v铆ctimas de este malware, ESET recomienda a todas las empresas que utilicen RES 3700 que descarguen la 煤ltima versi贸n del programa, que solo lo usen en dispositivos cuyos sistemas operativos est茅n actualizados y que se protejan con soluciones de seguridad multicapa que sean capaces de detectar tanto este malware como otras amenazas similares.

Para m谩s informaci贸n sobre ModPipe, se puede visitar el blog de ESET.

Ilustraci贸n: Simon Mikaj v铆a Unsplash


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.