Eset ha descubierto ModPipe, una backdoor modular que permite el acceso a la información confidencial que está almacenada en los dispositivos punto de venta que están equipados con el software Oracle Micros Restaurant Enterprise Series (RES) 3700, que utilizan restaurantes y hoteles y otros establecimientos del sector de la hostelería.
La principal diferencia de ModPipe frente a otras backdoors son sus capacidades y que sus módulos son descargables. Y, además, tiene un un algoritmo personalizado que ha sido diseñado para recopilar todas las contraseñas de la base de datos del software, descifrándolas desde valores en el registro de Windows.
Uno de los módulos descargables de ModPipe es GetMcInfo, que tiene como objetivo conseguir datos relacionados con el software, incluyendo las contraseñas relacionadas con los nombres de usuario de dos bases de datos predefinidas por el fabricante. Este módulo puede interceptar y descifrar las contraseñas de la base de datos utilizando un algoritmo especialmente diseñado para ello.
Otro de los módulos es ModScan 2.20 que recopila información adicional sobre el entorno Micros POs instalado en las máquinas, mediante el escaneo de direcciones IP seleccionadas.
Esta backdoor también contiene el módulo ProcList, que recopila información sobre los procesos que se están ejecutando en la máquina.
“La arquitectura, los módulos y las capacidades que presenta ModPipe indican también que los desarrolladores de este malware tienen un conocimiento profundo sobre el software POS RES 3700. Las competencias mostradas incluyen varios escenarios, desde el robo de datos al uso de técnicas de ingeniería inversa, utilización maliciosa de las partes de código filtradas o incluso la compra de código en los mercados clandestinos”, señala Martin Smolár, el investigador de Eset que ha descubierto ModPipe.
Para evitar ser víctimas de este malware, Eset recomienda a todas las empresas que utilicen RES 3700 que descarguen la última versión del programa, que solo lo usen en dispositivos cuyos sistemas operativos estén actualizados y que se protejan con soluciones de seguridad multicapa que sean capaces de detectar tanto este malware como otras amenazas similares.
