ModPipe, il malware che prende di mira i POS di bar, hotel e ristoranti: i dettagli - Cyber Security 360

L'ANALISI TECNICA

ModPipe, il malware che prende di mira i POS di bar, hotel e ristoranti: i dettagli

Si chiama ModPipe il nuovo malware che sta prendendo di mira i sistemi di pagamento POS di bar, ristoranti, hotel e strutture ricettive in tutto il mondo: al momento non è in grado di rubare i numeri delle carte di credito, ma non è escluso che prima o poi riesca a farlo. Ecco tutto quello che c’è da sapere

25 Nov 2020
Paolo Tarsitano

Editor Cybersecurity360.it

Si chiama ModPipe il nuovo malware che, negli ultimi giorni, sta prendendo di mira i dispositivi POS (Point-of-Sale) utilizzati da aziende e organizzazioni del settore dell’ospitalità nel tentativo di esfiltrare informazioni e dati riservati sui pagamenti digitali.

Si tratta, in particolare, di una backdoor modulare in grado di installarsi nei POS su cui è installata la suite di software gestionale Oracle Micros Restaurant Enterprise Series (RES) 3700 utilizzata da migliaia di bar, ristoranti, hotel e altre strutture ricettive in tutto il mondo.

Al momento, il ricercatore di ESET Martin Smolár che ha scoperto ModPipe non ha ancora individuato il modo in cui il malware compromette i sistemi POS, ma è comunque riuscito a ricostruire la sua architettura malevola composta da un payload, da un loader persistente, dal modulo principale del malware, da un modulo di rete utilizzato presumibilmente per il collegamento con il server di comando e controllo (C&C) e da alcune componenti scaricabili che aggiungono ulteriori funzionalità.

ModPipe: i numeri delle carte di credito per ora sono al sicuro

Secondo l’analista, ModPipe è stato quasi certamente ideato da threat actor con una profonda conoscenza del software Oracle, in quanto al suo interno è stato identificato un algoritmo personalizzato GetMicInfo progettato per raccogliere le password del database RES 3700 POS decifrandole dai valori del registro di Windows.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

Si tratta di un metodo molto più sofisticato rispetto al tradizionale keylogging che consente ai criminal hacker di esfiltrare facilmente dati riservati. Le credenziali così estratte consentono quindi ai creatori di ModPipe di accedere ai contenuti del database, incluse varie definizioni e configurazioni, tabelle di stato e informazioni sulle transazioni POS.

Al momento non si hanno ulteriori dettagli sul meccanismo di decrittazione delle password del database: questo potrebbe significare che i creatori di ModPipe siano riusciti a individuarle con una procedura di reverse engineering del software per il Micros RES 3700 Restaurant POS System di Oracle. Ma non è da escludere che siano riusciti ad ottenere le informazioni necessarie in seguito al data breach dei dati chem nel 2016, ha interessato la divisione Micros PoS di Oracle, magari acquistandole nel mercato nero del Dark Web.

La buona notizia è che la sola conoscenza della password di accesso ai database dei sistemi POS non consente, almeno per il momento, ai criminal hacker di accedere a informazioni sensibili come i numeri delle carte di credito e le date di scadenza, in quanto protette con robusti metodi crittografici.

Per bypassare i sistemi di sicurezza dei dati, gli aggressori dovrebbero prima invertire il processo di generazione della passphrase specifica per ogni singolo dispositivo POS e solo successivamente ricavare la chiave di cifratura per i dati sensibili.

A complicare il lavoro agli aggressori, secondo il ricercatore Eset che ha identificato ModPipe, anche il fatto che tutto questo processo dovrebbe essere implementato nel modulo GetMicInfo e quindi, a causa dell’uso delle API di protezione dei dati di Windows (DPAPI), eseguito direttamente sulla macchina della vittima.

Come difendersi

Ovviamente sarebbe alquanto strano che chi ha progettato un malware così sofisticato come ModPipe rinunci ad accedere anche ai dati criptati contenenti i numeri delle carte di credito, per cui è importante adottare per tempo tutte le precauzioni del caso.

Al momento, come dicevamo, non si conosce ancora il vettore di diffusione di ModPipe, il che rende più complicato individuare una soluzione di mitigazione del rischio.

È dunque utile adottare tutte le best practice di sicurezza informatica valide, ad esempio, per difendersi dal phishing, in quanto potrebbe essere questo il metodo utilizzato dai criminal hacker per diffondere il malware. A tale scopo, è possibile seguire l’utile guida pratica fornita dal Garante Privacy.

È opportuno, inoltre, verificare costantemente la disponibilità di aggiornamenti software rilasciati da Oracle per la sua suite Micros Restaurant Enterprise Series (RES) 3700 ed eventualmente installarli subito dopo il loro rilascio.

È sconsigliato, ovviamente, utilizzare la suite Oracle su dispositivi dotati di sistema operativo e software non aggiornati, mentre è importante installare un software di sicurezza affidabile a più livelli in grado di rilevare ModPipe e minacce simili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5