В Сети появился код зловреда TreasureHunter, нацеленного на похищение данных банковских карт из памяти PoS-терминалов. Исходники программы, впервые появившейся в поле зрения ИБ-экспертов в 2014 году, выложил участник одного из русскоязычных криминальных форумов. Исследователи полагают, что их публикация приведет к появлению новых вариантов вредоносной программы.

Помимо кода, на форуме доступны исходники графической оболочки и панели администратора. Таким образом, в свободном доступе оказался полный комплект, необходимый для работы зловреда.

“TreasureHunter все еще неплохо работает… и теперь, когда у вас есть его код, вы можете спокойно доработать программу под свои нужды”, — пишет автор публикации.

TreasureHunter попадает в PoS-систему через взлом механизма авторизации, используя краденые учетные данные или просто подбирая пароль администратора. Для успешной атаки программу необходимо установить как на сам терминал, так и на сервер, к которому подключена кассовая точка. Затем зловред прописывается в реестре и добавляет себя в список автозапуска.

После установки он сканирует список запущенных процессов и начинает поиск информации, которую можно использовать для кражи денег. Ее интересуют данные банковских карт: номера счетов, коды CVV2/CVC2 и другие сведения. Затем программа отправляет данные на командный сервер treasurehunter[.]at, который связан с другим зловредом — LockPoS.­­­

Эксперты полагают, что это разработки одного автора. Возможно, злоумышленник решил сконцентрироваться на более современном решении, подарив устаревшую программу другим киберпреступникам. Как утверждают специалисты, проект изначально был скомпилирован с применением Visual Studio 2013 на компьютере под управлением Windows XP.

Кибератаки на PoS-терминалы часто оказываются в центре внимания. Не так давно исследователи зафиксировали мощную компанию по краже номеров банковских карт при помощи зловреда PinkKite. Экспертам понадобилось девять месяцев, чтобы раскрыть детали криминальной операции и разобраться в механизмах работы программы.

Публикация исходников TreasureHunter, с одной стороны, несет угрозу появления новых модификаций этой программы, неизвестных антивирусным системам. С другой — при помощи них специалисты по информационной безопасности смогут лучше понять методы работы вредоноса и выработать эффективные меры защиты.

Категории: Вредоносные программы, Главное, Хакеры