ESET研究人员发现了一种模块化后门ModPipe，可让攻击者访问存储在运行ORACLE MICROS餐馆企业系列（RES）3700 POS的设备中的敏感信息，该管理软件套件被全球各地的大量酒吧，餐馆，酒店使用。ModPipe含有一个名为GetMicInfo的模块，其使用了一种算法，可以通过从Windows注册表值解密来收集数据库凭据，收集的凭据可以让攻击者访问数据库内容，包括各种定义和配置，状态表和关于POS交易的信息。ModPipe架构包括：初始dropper，包含下一阶段（持久加载程序）的32位和64位二进制文件，并将合适的版本安装到损坏的机器上；持久加载程序，解压并加载主模块；主模块，创建一个管道，用于与其他恶意模块通信，卸载/安装这些模块，并充当dispatcher，处理模块与攻击者的C&C服务器之间的通信；网络模块，用于与C&C通信的模块。