هدف قرار گرفتن دستگاه‌های POS رستوران‌ها و هتل‌ها با بدافزار ModPipe

امروزه محققان امنیت سایبری نوع جدیدی از Backdoor را افشا کردند که هدف آن، نرم افزار مدیریت رستوران و دستگاه‌های POS است که با Oracle طراحی شده‌اند و تلاش می‌کند اطلاعات حساس پرداخت ذخیره شده در دستگاه‌ها را جستجو و سرقت کند.

به گزارش سایت پلیس فتا به نقل از thehackernews، این نوع Backdoor که ModPipe لقب گرفته است، بر سیستم‌های POS که بر پایه Oracle طراحی شده اند و شامل مجموعه‌ای از نرم‌افزارهای بسیار پرکاربرد در رستوران‌ها و مراکز پذیرایی هستند، تأثیر می‌گذارد.

به گفته محققان، آنچه که این Backdoor را متمایز می‌کند، ماژول‌های قابل بارگیری و قابلیت‌های آن است، زیرا حاوی یک الگوریتم سفارشی است که برای جمع‌آوری رمزهای عبور پایگاه داده RES 3700 POS با رمزگشایی از مقادیر رجیستری ویندوز طراحی شده است.

ModPipe به نحوی طراحی شده است که اجازه می‌دهد تا به محتوای پایگاه داده، از جمله تعاریف و پیکربندی‌های مختلف، جداول وضعیت و اطلاعات مربوط به تراکنش‌های POS دسترسی پیدا کند.

بر اساس یافته‌های محققان این Backdoor می‌تواند با ماژول‌هایی خاص، اطلاعات ارزشمند رمزنگاری شده را رمزگشایی کند و به محتوای آن‌ها دسترسی داشته باشد.

نوع فعالیت ModPipe به گونه‌ای تشکیل شده است که ابتدا نصب و یک فایل راه‌انداز فعال می‌شود، سپس ماژول اصلی بدافزار که با برقراری ارتباط با سایر ماژول‌ها و فرمان و کنترل آن‌ها در سرور و شبکه فعال می‌شود.

از جمله ماژول‌های قابل بارگیری، می توان به "GetMicInfo" اشاره کرد، مولفه‌ای که می‌تواند رمزهای عبور پایگاه داده را با استفاده از یک الگوریتم خاص رهگیری و رمزگشایی کند، که به گفته محققان این کار می‌تواند با مهندسی معکوس کتابخانه‌ ای رمزنگاری یا با استفاده از مشخصات پیاده‌سازی رمزگذاری به دست آمده باشد.

ماژول دوم به نام "ModScan 2.20" به جمع آوری اطلاعات اضافی در مورد سیستم POS نصب شده (به عنوان مثال، نسخه، داده‌های سرور پایگاه داده) اختصاص یافته است، در حالی که ماژول دیگری با نام "Proclist" جزئیات مربوط به فرآیندهای در حال اجرا را جمع آوری می‌کند.

به گفته محققان: معماری، ماژول‌ها و قابلیت‌های ModPipe همچنین نشان می‌دهد که نویسندگان آن دانش گسترده‌ای از نرم‌افزار هدفمند RES 3700 POS دارند. مهارت اپراتورها می‌تواند ناشی از چندین سناریو باشد، از جمله سرقت و مهندسی معکوس محصول نرم‌افزار اختصاصی، سوء استفاده از قطعات فاش شده یا خرید کد از یک بازار زیرزمینی.

به مشاغلی که از RES 3700 POS استفاده می‌کنند، توصیه می‌شود که آن‌ها را به آخرین نسخه نرم افزار به روز کرده و همچنین از دستگاه‌هایی استفاده کنند که نسخه‌های به روز شده سیستم عامل اصلی را اجرا می‌کنند.

انتهای پیام