Хакеры создали вредонос для атак на ресторанные PoS-решения от Oracle

Хакеры создали вредонос для атак на ресторанные PoS-решения от Oracle

Alexander Antipov

Модуль вредоноса содержит алгоритм для сбора паролей баз данных путем их расшифровки из значений реестра Windows.

image

Киберпреступники разработали бэкдор ModPipe для осуществления атак на ресторанные PoS-решения от Oracle. По мнению исследователей из ESET, вредонос отличается необычной сложностью, о чем свидетельствуют многочисленные модули.

Бэкдор специально создан для атак на Oracle MICROS Restaurant Enterprise Series (RES) 3700 — пакет программного обеспечения для управления PoS-терминалами, используемый сотнями тысяч баров, ресторанов и отелей по всему миру. По словам экспертов, киберпреступники в основном атакуют ресторанные заведения в США.

Один из загружаемых модулей вредоносного ПО, получивший название GetMicInfo, обнаруживает и похищает учетные данные, позволяющие операторам ModPipe получать доступ к содержимому базы данных, включая различные определения и данные конфигурации, таблицы состояния и информацию о транзакциях PoS-терминала.

«Модуль содержит алгоритм, разработанный для сбора паролей баз данных путем их расшифровки из значений реестра Windows. Разработчики бэкдора обладают глубокими познаниями о целевом программном обеспечении жертв и выбрали данный сложный метод вместо сбора данных с помощью более простого, но «более громкого» подхода, такого как кейлоггинг», — отметили специалисты.

Тем не менее, информация базы данных, которую похищает модуль, не содержит номера кредитных карт клиентов заведений. В данном случае злоумышленники могут получить доступ только к именам владельцев карт. Эксперты предполагают, что существует еще один загружаемый модуль, позволяющий операторам вредоносного ПО расшифровывать более конфиденциальные данные.

Основной модуль загрузчика создает канал, используемый для связи с другими вредоносными модулями, а также отвечает за их реализацию и обеспечивает соединение с C&C-сервером злоумышленников.

Кроме того, существует ряд других загружаемых модулей для добавления определенных функций в бэкдор. Два компонента могут сканировать определенные IP-адреса или получать список запущенных процессов на устройстве. Операторы вредоноса также используют как минимум четыре других загружаемых модуля, функциональность которых пока полностью неизвестна.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab