Descubre un malware que ataca a restaurantes y hoteles

17 noviembre, 2020
6 Compartido 1,028 Visualizaciones

ESET ha descubierto ModPipe, una backdoor modular que permite el acceso a la información confidencial almacenada en los dispositivos de punto de venta ORACLE MICROS Restaurant Enterprise Series (RES) 3700, un software de gestión utilizado en decenas de miles de bares, restaurantes, hoteles y otros establecimientos en todo el mundo.

Lo que distingue a ModPipe de otras backdoors son sus capacidades y que sus módulos son descargables. Además, contiene un algoritmo personalizado que ha sido diseñado para recopilar todas las contraseñas de la base de datos del software, descifrándolas desde valores en el registro de Windows. Esto significa que los ciberdelincuentes tienen un conocimiento amplio del software y que han preferido utilizar este método en lugar de recoger los datos a partir de alguna técnica más sencilla, aunque más llamativa, como pudiera ser un registro de las pulsaciones. Las credenciales conseguidas por los delincuentes permiten el acceso al contenido de la base de datos, incluyendo definiciones, configuraciones, tablas de estado e información sobre transacciones.

Según la documentación del programa, los ciberdelincuentes no deberían tener acceso a algunos de los datos más confidenciales, como los detalles de las tarjetas de crédito, ya que este tipo de información está protegido por técnicas de cifrado. Los únicos datos almacenados que deberían ser accesibles por los delincuentes son los nombres de los titulares de las tarjetas”, advierte Martin Smolár, el investigador de ESET que ha descubierto ModPipe. “Probablemente, lo más interesante de este malware sean sus módulos descargables. Conocíamos de su existencia desde finales de 2019, cuando lo observamos por primera vez y analizamos sus componentes básicos”.

Los módulos descargables de ModPipe son:

  • GetMicInfo, que tiene como objetivo conseguir datos relacionados con el software, incluyendo las contraseñas relacionadas con los nombres de usuario de dos bases de datos predefinidas por el fabricante. Este módulo puede interceptar y descifrar las contraseñas de la base de datos utilizando un algoritmo especialmente diseñado para ello.
  • ModScan 2.20, que recopila información adicional sobre el entorno MICROS POS instalado en las máquinas, mediante el escaneo de direcciones IP seleccionadas.
  • ProcList, cuyo objetivo principal es recopilar información sobre los procesos que se están ejecutando en la máquina.

La arquitectura, los módulos y las capacidades que presenta ModPipe indican también que los desarrolladores de este malware tienen un conocimiento profundo sobre el software POS RES 3700. Las competencias mostradas incluyen varios escenarios, desde el robo de datos al uso de técnicas de ingeniería inversa, utilización maliciosa de las partes de código filtradas o incluso la compra de código en los mercados clandestinos”, añade Smolár.

Para evitar ser víctimas de este malware, ESET recomienda a todas las empresas que utilicen RES 3700 que descarguen la última versión del programa, que solo lo usen en dispositivos cuyos sistemas operativos estén actualizados y que se protejan con soluciones de seguridad multicapa que sean capaces de detectar tanto este malware como otras amenazas similares.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Coalición contra el Stalkerware: organizaciones y empresas de seguridad unen fuerzas contra la violencia doméstica
Actualidad
6 compartido1,268 visualizaciones
Actualidad
6 compartido1,268 visualizaciones

Coalición contra el Stalkerware: organizaciones y empresas de seguridad unen fuerzas contra la violencia doméstica

Alicia Burrueco - 25 noviembre, 2019

Diez organizaciones -Avira, Electronic Frontier Foundation, European Network for the Work with Perpetrators of Domestic Violence, G DATA CyberDefense, Kaspersky,…

Cybnus incorpora a su póliza Cybnus One la cobertura por transferencias fraudulentas de fondos
Actualidad
6 compartido1,164 visualizaciones
Actualidad
6 compartido1,164 visualizaciones

Cybnus incorpora a su póliza Cybnus One la cobertura por transferencias fraudulentas de fondos

Alicia Burrueco - 31 julio, 2020

CYBNUS, compañía especializada en seguros para riesgos cibernéticos para PYMES y Autónomos, siempre a la vanguardia del mercado, tras un…

Cómo evitar el hackeo a documentación confidencial sobre la vacuna del Covid-19
Actualidad
7 compartido1,160 visualizaciones
Actualidad
7 compartido1,160 visualizaciones

Cómo evitar el hackeo a documentación confidencial sobre la vacuna del Covid-19

Alicia Burrueco - 17 diciembre, 2020

La industria farmacéutica, así como los organismos oficiales de Sanidad, tienen estos días que enfrentarse no sólo a una batalla…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.