Ένα νέο στέλεχος malware στοχεύει PoS τερματικούς σταθμούς στις ΗΠΑ, που απευθύνονται σε μικρές επιχειρήσεις και τράπεζες που δεν έχουν ακόμη μεταβεί στο νέο σύστημα chip EMV και κάρτας PIN.
Ονομάζεται TresureHunt και είναι το νέο POS (Point of Sale) στέλεχος malware κυκλοφορεί από τα τέλη του 2014, όταν ερευνητές της FireEye ανακάλυψαν ίχνη πρώιμων παραλλαγών του.
Υπάρχουν τρεις κατηγορίες στις οποίες σχεδόν όλα τα PoS malware εντάσσονται. Υπάρχουν ελεύθερα διαθέσιμα εργαλεία, συνήθως παλιά PoS από τα οποία κλέβουν τον πηγαίο κώδικα, υπάρχουν PoS malware που διατίθενται προς πώληση, συνήθως μεγαλύτερης ηλικίας PoS κακόβουλα λογισμικά ή παραλλαγές αυτών που είχαν προηγουμένως διαρρεύσει, και υπάρχουν επίσης προσαρμοσμένα PoS.
Ο TreasureHunt αποτελεί μέρος της τελευταίας αυτής κατηγορίας, που χτίστηκε ειδικά για τη χρήση ενός ενιαίου ομίλου, ο οποίος αποφεύγει να τα μοιραστεί με τους άλλους και το χρησιμοποιεί για να τροφοδοτήσει την εκστρατεία του εγκλήματος στον κυβερνοχώρο.
Στη συγκεκριμένη περίπτωση, η FireEye έχει συνδέσει την πηγή του κακόβουλου λογισμικού σε ένα κωδικοποιητή που ονομάζεται Jolly Roger και η ομάδα BearsInc. Η BearsInc δεν είναι ένα κοινό όνομα μεταξύ hacking ομάδων, αλλά είναι πολύ δημοφιλής στο λανάρισμα στην κοινότητα, όπου δημοσιεύει τακτικά δεδομένα που περιέχουν αριθμούς πιστωτικών καρτών και των παρακείμενων πληροφοριών.
Η FireEye εικάζει ότι αυτή η ομάδα χρησιμοποιεί το κακόβουλο λογισμικό TreasureHunt PoS ως πηγή για όλες αυτές τις παράνομες κλοπές και διαρρεύσεις. Από τεχνική άποψη, στον πυρήνα του, το κακόβουλο λογισμικό δεν διαφέρει από τα άλλα είδη των Pos malware. Μπορεί να μολύνει τους υπολογιστές, προσθέτοντας ένα κλειδί μητρώου και στη συνέχεια ξεκινά τη σάρωση της μνήμης του υπολογιστή για κάθε τύπο των στοιχείων της πιστωτικής κάρτας. Μόλις συμβεί αυτό, τα δεδομένα αμέσως κωδικοποιούνται και αποστέλλονται σε ένα C & C server.
Η FireEye λέει ότι οι μολύνσεις με TresureHunt δεν συμβαίνουν μέσω spam, όπως σε άλλα PoS malware συνήθως εξαπλώνεται, αλλά μέσω της χρήσης hacking, όπου τα μέλη της BearsIncInc, χρησιμοποιούν κλεμμένα διαπιστευτήρια για τα τερματικά POS για να τοποθετήσουν κακόβουλο λογισμικό στο τερματικό πληρωμής. Επιπλέον, η ομάδα χρησιμοποιεί επιθέσεις brute-force για να σπάσει τερματικά που χρησιμοποιούν αδύναμους κωδικούς πρόσβασης.
