Les chercheurs en cybersécurité ont dévoilé aujourd’hui un nouveau type de porte dérobée modulaire qui cible le logiciel de gestion de restaurant de point de vente (POS) d’Oracle dans le but de voler les informations de paiement sensibles stockées dans les appareils.
La porte dérobée – surnommée « ModPipe » – a un impact Oracle MICROS Restaurant Enterprise Series (RES) 3700 POS des systèmes, des suites logicielles de restaurants et des établissements hôteliers largement utilisés pour gérer efficacement les points de vente, les stocks et la gestion de la main-d’œuvre, déployés dans les secteurs de la restauration et de l’hôtellerie principalement aux États-Unis.
« Ce qui distingue la porte dérobée, ce sont ses modules téléchargeables et leurs capacités, car il contient un algorithme personnalisé conçu pour collecter les mots de passe de la base de données RES 3700 POS en les déchiffrant à partir des valeurs de registre Windows », ont déclaré des chercheurs d’ESET dans un une analyse.
« Les informations d’identification exfiltrées permettent aux opérateurs de ModPipe d’accéder au contenu de la base de données, y compris diverses définitions et configurations, tables d’état et informations sur les transactions POS. »
Il convient de noter que des détails tels que les numéros de carte de crédit et les dates d’expiration sont protégés par des barrières de cryptage dans RES 3700, limitant ainsi la quantité d’informations précieuses viables pour une utilisation abusive ultérieure, bien que les chercheurs postulent que l’acteur derrière les attaques pourrait être en possession d’un deuxième module téléchargeable pour décrypter le contenu de la base de données.
L’infrastructure ModPipe se compose d’un dropper initial qui est utilisé pour installer un chargeur persistant, qui décompresse et charge ensuite la charge utile de la prochaine étape – le principal module de malware utilisé pour établir des communications avec d’autres modules « téléchargeables » et la commande et contrôle ( C2) via un module de mise en réseau autonome.
Le principal parmi les modules téléchargeables comprend « GetMicInfo », un composant qui peut intercepter et décrypter les mots de passe de base de données à l’aide d’un algorithme spécial, qui, selon les chercheurs d’ESET, aurait pu être implémenté soit en rétroconcevant les bibliothèques cryptographiques, soit en utilisant les spécificités de mise en œuvre de cryptage obtenues à la suite d’un violation de données à la division MICROS POS d’Oracle en 2016.
Un deuxième module appelé « ModScan 2.20 » est consacré à la collecte d’informations supplémentaires sur le système POS installé (par exemple, la version, les données du serveur de base de données), tandis qu’un autre module du nom de « Proclist » rassemble des détails sur les processus en cours d’exécution.
«L’architecture, les modules et leurs capacités de ModPipe indiquent également que ses rédacteurs ont une connaissance approfondie du logiciel de point de vente RES 3700 ciblé», ont déclaré les chercheurs. « La compétence des opérateurs pourrait découler de plusieurs scénarios, y compris le vol et la rétro-ingénierie du logiciel propriétaire, l’utilisation abusive de ses pièces divulguées ou l’achat de code sur un marché clandestin. »
Il est conseillé aux entreprises du secteur hôtelier qui utilisent le point de vente RES 3700 de mettre à jour la dernière version du logiciel et d’utiliser des appareils exécutant des versions mises à jour du système d’exploitation sous-jacent.
