ModPipe Malware

ModPipe Malware-Beschreibung

ModPipe ist eine neue Art von Malware, die auf POS-Geräte (Point-of-Sale) abzielt und verschiedene Datentypen daraus extrahieren kann. Obwohl die Malware nur für eine einzelne Verwaltungssoftware-Suite entwickelt wurde - Oracle Micros Restaurant Enterprise Series (RES) 3700 -, reicht es aus, Hunderttausende von Organisationen, die im Gastgewerbe tätig sind, potenziell zu gefährden. In der Tat beschreibt Oracle den RES 3700 als die "am weitesten verbreitete Restaurantverwaltungssoftware der Branche". Die Software kann eine breite Palette von Diensten wie Treueprogramme, mobile Zahlungen, POS-Geräte, Berichte, Werbeaktionen und Inventar verwalten.

Die Hacker hinter ModPipe scheinen sehr tiefes Wissen über die Verwaltungssoftware zu haben, was durch die Tatsache belegt wird, dass die ModPipe-Malware über einen benutzerdefinierten Algorithmus verfügt, mit dem RES 3700-POS-Datenbankkennwörter aus der Windows-Registrierung extrahiert werden können.

Die ModPipe-Malware ist modular aufgebaut und besteht aus einem Dropper - entweder 32 / Bit oder 64 / Bit, abhängig vom gefährdeten Gerät, einem First-Stage-Loader und der tatsächlichen Malware-Nutzlast. Die Kommunikation zwischen den verschiedenen Modulen und der Command-and-Control-Infrastruktur wird durch die Erstellung einer "Pipe" erleichtert. Bei der Ausführung kann ModPipe Inhalte aus PoS-Datenbanken abrufen, die Statusbezeichnungen und bestimmte Details zu PoS-Transaktionen, Einzelheiten zur Systemkonfiguration usw. enthalten. Was die Malware jedoch aufgrund der von RES 3700 implementierten Verschlüsselung nicht erhalten kann, sind Kreditkartennummern und Ablaufdaten.

Den Forschern ist es gelungen, mehrere der von ModPipe verwendeten Module zu identifizieren. Der benutzerdefinierte Algorithmus zum Abfangen und Entschlüsseln von RES 3700-Datenbankkennwörtern ist in einem Modul mit dem Namen "GetMicInfo" enthalten. PoS-Informationen durch IP-Scannen werden von "ModScan 2.20" ausgeführt, während der aktuelle Liste der Prozesse, die auf dem gefährdeten Gerät ausgeführt werden, wird von 'ProcList' überwacht. Es ist zu beachten, dass die Bedrohungsfunktionen von ModPipe durch das Herunterladen zusätzlicher Malware-Module weiter entwickelt oder erweitert werden können.