原文《新的 ModPipe 銷售點（POS）惡意軟件針對餐館、酒店進(jìn)行攻擊》

11月12日，網(wǎng)絡(luò)安全研究人員披露了一種新型的模塊化后門，該后門針對Oracle的銷售點（POS）餐館管理軟件，以試圖竊取存儲在設(shè)備中的敏感支付信息。

這個被稱為“ModPipe”的后門影響了Oracle MICROS餐廳企業(yè)系列（RES）3700 POS系統(tǒng)，這是一個在餐廳和酒店業(yè)中廣泛使用的軟件套件，可以有效地處理POS、庫存和人工管理。大多數(shù)已經(jīng)確定的目標(biāo)主要位于美國。

ESET的研究人員在報告中說：“后門的與眾不同之處在于它的可下載模塊及其功能，因為它包含一個自定義算法，該算法通過從Windows注冊表值中解密來收集RES 3700 POS數(shù)據(jù)庫密碼。”

“經(jīng)過篩選的憑據(jù)使ModPipe的操作者可以訪問數(shù)據(jù)庫內(nèi)容，包括各種定義和配置，狀態(tài)表以及有關(guān)POS交易的信息?！?/p>

值得注意的是，在RES 3700中，諸如信用卡號和有效期之類的詳細(xì)信息受到加密屏障的保護(hù)，從而限制了可能被進(jìn)一步濫用的有價值的信息量，盡管研究人員認(rèn)為，攻擊者可能擁有第二個可下載模塊解密數(shù)據(jù)庫的內(nèi)容。

ModPipe基礎(chǔ)結(jié)構(gòu)由一個初始刪除程序組成，該刪除程序用于安裝持久性加載程序，然后將其解壓縮并加載下一階段的有效負(fù)載，該有效負(fù)載是主要的惡意軟件模塊，用于與其他“downloadable”模塊以及命令和控制（ C2）服務(wù)器建立通信。

可下載模塊中的主要組件包括“GetMicInfo”，該組件可以使用特殊算法來攔截和解密數(shù)據(jù)庫密碼，ESET研究人員認(rèn)為，可以通過對密碼庫進(jìn)行反向工程或利用所獲得的加密實現(xiàn)細(xì)節(jié)來實現(xiàn)該功能。

第二個模塊為“ModScan 2.20”，用于收集有關(guān)已安裝POS系統(tǒng)的額外信息（如版本、數(shù)據(jù)庫服務(wù)器數(shù)據(jù)），而另一個模塊名為“Proclist”，收集當(dāng)前運行進(jìn)程的詳細(xì)信息。

研究人員表示:“ModPipe的架構(gòu)、模塊及其功能也表明，它的作者對目標(biāo)RES 3700pos軟件有廣泛的了解?！薄斑\營商的熟練可能源于多種情況，包括竊取和逆向工程專有軟件產(chǎn)品，濫用泄露的部件，或從地下市場購買代碼?！?/p>

建議使用RES 3700 POS的酒店企業(yè)升級到軟件的最新版本，并使用運行底層操作系統(tǒng)更新版本的設(shè)備。

消息來源：The Hacker News?；封面來自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/