14.11.2020 | Хакеры создали вредонос для атак на ресторанные PoS-решения от Oracle |
Киберпреступники разработали бэкдор ModPipe для осуществления атак на ресторанные PoS-решения от Oracle. По мнению исследователей из ESET, вредонос отличается необычной сложностью, о чем свидетельствуют многочисленные модули. Бэкдор специально создан для атак на Oracle MICROS Restaurant Enterprise Series (RES) 3700 — пакет программного обеспечения для управления PoS-терминалами, используемый сотнями тысяч баров, ресторанов и отелей по всему миру. По словам экспертов, киберпреступники в основном атакуют ресторанные заведения в США. Один из загружаемых модулей вредоносного ПО, получивший название GetMicInfo, обнаруживает и похищает учетные данные, позволяющие операторам ModPipe получать доступ к содержимому базы данных, включая различные определения и данные конфигурации, таблицы состояния и информацию о транзакциях PoS-терминала. «Модуль содержит алгоритм, разработанный для сбора паролей баз данных путем их расшифровки из значений реестра Windows. Разработчики бэкдора обладают глубокими познаниями о целевом программном обеспечении жертв и выбрали данный сложный метод вместо сбора данных с помощью более простого, но «более громкого» подхода, такого как кейлоггинг», — отметили специалисты. Тем не менее, информация базы данных, которую похищает модуль, не содержит номера кредитных карт клиентов заведений. В данном случае злоумышленники могут получить доступ только к именам владельцев карт. Эксперты предполагают, что существует еще один загружаемый модуль, позволяющий операторам вредоносного ПО расшифровывать более конфиденциальные данные. Основной модуль загрузчика создает канал, используемый для связи с другими вредоносными модулями, а также отвечает за их реализацию и обеспечивает соединение с C&C-сервером злоумышленников. Кроме того, существует ряд других загружаемых модулей для добавления определенных функций в бэкдор. Два компонента могут сканировать определенные IP-адреса или получать список запущенных процессов на устройстве. Операторы вредоноса также используют как минимум четыре других загружаемых модуля, функциональность которых пока полностью неизвестна. |
Проверить безопасность сайта