TreasureHunter PoS恶意软件源代码在线泄露

Flashpoint警告称，TreasureHunter 销售点（PoS）恶意软件的新变种 预计会在其源代码在3月在线泄露后出现。

PoS恶意软件家族至少可以从2014年开始提供信用卡和借记卡信息，因此至少可以从2014年开始。为了执行其恶意活动，它扫描机器上的所有进程以搜索支付卡数据，然后发送将信息传递给命令和控制（C＆C）服务器。

恶意软件的源代码由一位演员发布在讲俄语的顶级论坛上，演员还泄露了恶意软件的图形用户界面构建器和管理员面板的源代码。

两种代码库的可用性预计会让更多的网络犯罪分子构建他们自己的PoS恶意软件变种，并开始在攻击中使用它们。但是，代码的可用性还为安全研究人员提供了更好地分析威胁的可能性。事实上，3月份发现漏洞的Flashpoint一直在与思科Talos一起合作，以改善保护并打破潜在的可能获得泄漏源代码的模仿者。

安全研究人员在与安全周刊分享的一份报告中解释说：“与此同时，俄语网络犯罪分子已经在经过审查的地下讨论改进以及泄露的TreasureHunter源代码的武器中观察到。

原始的恶意软件开发人员可能是一位精通英语的俄语人。据Flashpoint报道，这个威胁最初可能是为臭名昭着的地下商店销售商BearsInc开发的，但代码被泄露的原因尚不清楚。

TreasureHunter可能使用弱凭证进行安装。攻击者访问基于Windows的服务器和销售点终端，安装威胁，然后通过创建注册表项来建立持久性，以便在启动时执行恶意软件。

然后，威胁将枚举正在运行的进程，并开始扫描设备内存以查找主要帐号（PAN），分隔符，服务代码等跟踪数据。接下来，它与C＆C建立连接并将窃取的数据发送给攻击者。

“除了alina，vskimmer和其他嗅探器，Treasure Hunter仍然嗅探（不是很高的速度，但它仍然会），除此之外，从现在开始你有源代码，它可以随时更新以满足你自己的需要，” TreasureHunter泄漏背后的演员显然表示说。

在内部，代码项目被称为trhutt34C 。恶意软件是用纯C编写的，没有C ++功能，最初是在Windows XP上的Visual Studio 2013中编译的。研究人员认为，该恶意软件作者还希望改进和重新设计各种功能，包括反调试，代码结构和门通信逻辑。

源代码与先前分析的TreasureHunter样本一致，并且一个config.h 文件显示“在恶意软件的使用期限内修改的明确标志”。更近期的样本将有用的配置值直接写入字段，这使得它们更小。