ESET ha descubierto ModPipe, una backdoor modular que permite el acceso a la información confidencial almacenada en los dispositivos de punto de venta ORACLE MICROS Restaurant Enterprise Series (RES) 3700, un software de gestión utilizado en decenas de miles de bares, restaurantes, hoteles y otros establecimientos en todo el mundo.

Lo que distingue a ModPipe de otras backdoors son sus capacidades y que sus módulos son descargables. Además, contiene un algoritmo personalizado que ha sido diseñado para recopilar todas las contraseñas de la base de datos del software, descifrándolas desde valores en el registro de Windows. Esto significa que los ciberdelincuentes tienen un conocimiento amplio del software y que han preferido utilizar este método en lugar de recoger los datos a partir de alguna técnica más sencilla, aunque más llamativa, como pudiera ser un registro de las pulsaciones. Las credenciales conseguidas por los delincuentes permiten el acceso al contenido de la base de datos, incluyendo definiciones, configuraciones, tablas de estado e información sobre transacciones.

“Según la documentación del programa, los ciberdelincuentes no deberían tener acceso a algunos de los datos más confidenciales, como los detalles de las tarjetas de crédito, ya que este tipo de información está protegido por técnicas de cifrado. Los únicos datos almacenados que deberían ser accesibles por los delincuentes son los nombres de los titulares de las tarjetas”, advierte Martin Smolár, el investigador de ESET que ha descubierto ModPipe. “Probablemente, lo más interesante de este malware sean sus módulos descargables. Conocíamos de su existencia desde finales de 2019, cuando lo observamos por primera vez y analizamos sus componentes básicos”.

Los módulos descargables de ModPipe son:

• GetMicInfo, que tiene como objetivo conseguir datos relacionados con el software, incluyendo las contraseñas relacionadas con los nombres de usuario de dos bases de datos predefinidas por el fabricante. Este módulo puede interceptar y descifrar las contraseñas de la base de datos utilizando un algoritmo especialmente diseñado para ello.
• ModScan 2.20, que recopila información adicional sobre el entorno MICROS POS instalado en las máquinas, mediante el escaneo de direcciones IP seleccionadas.
• ProcList, cuyo objetivo principal es recopilar información sobre los procesos que se están ejecutando en la máquina.

“La arquitectura, los módulos y las capacidades que presenta ModPipe indican también que los desarrolladores de este malware tienen un conocimiento profundo sobre el software POS RES 3700. Las competencias mostradas incluyen varios escenarios, desde el robo de datos al uso de técnicas de ingeniería inversa, utilización maliciosa de las partes de código filtradas o incluso la compra de código en los mercados clandestinos”, añade Smolár.

Para evitar ser víctimas de este malware, ESET recomienda a todas las empresas que utilicen RES 3700 que descarguen la última versión del programa, que solo lo usen en dispositivos cuyos sistemas operativos estén actualizados y que se protejan con soluciones de seguridad multicapa que sean capaces de detectar tanto este malware como otras amenazas similares.