Виявили модульний бекдор під назвою ModPipe, за допомогою якого зловмисники можуть отримувати доступ до конфіденційної інформації на пристроях з ORACLE MICROS RES 3700 POS. Це програмне забезпечення здебільшого використовується у барах, ресторанах, готелях та інших закладах у всьому світі.
Особливістю цього бекдора є завантажувані модулі та їх можливості — наприклад, він містить спеціальний алгоритм, призначений для збору паролів бази даних RES 3700 POS шляхом їх дешифрування зі значень реєстру Windows. Вибір такого складного методу замість використання зчитування натискань клавіатури свідчить про високу обізнаність операторів щодо своєї цілі. Викрадені облікові дані дозволяють авторам ModPipe отримувати доступ до бази даних, яка містить різні визначення та конфігурації, статус таблиць та інформацію про POS-транзакції.
“Однак згідно з документацією RES 3700 POS, зловмисники не зможуть отримати доступ до конфіденційних даних, таких як номери кредитних карт та дати закінчення терміну дії, які захищені шифруванням. Єдиними даними про клієнтів, які зберігаються у відкритому вигляді та доступні для зловмисників, є імена власників карток”, — попереджає Мартін Смолар, дослідник ESET.
“Характерною відмінністю бекдора ModPipe є завантажувані модулі. Ми знали про їхнє існування з кінця 2019 року, коли вперше зафіксували та проаналізували основні компоненти бекдора”, — пояснює він.
Завантажувані модулі
- GetMicInfo націлений на дані з MICROS POS, включно з паролями, які пов’язані з двома іменами користувачів бази даних, заздалегідь заданих виробником. Цей модуль може перехоплювати та розшифровувати ці паролі бази даних, використовуючи спеціально розроблений алгоритм.
- ModScan 2.20 збирає додаткову інформацію про встановлене середовище MICROS POS на пристроях шляхом сканування обраних IP-адрес.
- ProcList збирає інформацію про поточні процеси, запущені на пристрої.
“Архітектура ModPipe, його модулі та можливості також свідчать про обізнаність операторів щодо програмного забезпечення RES 3700 POS. Їх досвідченість може бути результатом опрацювання різних сценаріїв, включно з викраденням та розробкою власного програмного продукту, несанкціонованим використанням його частин або придбанням коду на нелегальному ринку”, — додає дослідник ESET.
Варто зазначити, що більшість виявлених цілей зловмисників знаходиться у США. У разі подальшого поширення ModPipe підприємствам готельно-ресторанного бізнесу, які використовують RES 3700 POS, варто дотримуватися таких порад:
- використовувати актуальну версію програмного забезпечення;
- своєчасно оновлювати операційну систему та програмне забезпечення на пристроях;
- використовувати надійне багаторівневе рішення з безпеки, яке здатне виявляти ModPipe та подібні загрози.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.