新型恶意软件TreasureHunt已瞄准零售商和银行

近日，FireEye发现了一种新型POS机恶意软件，同时该恶意软件已经将目标转移至零售商和银行。

恶意软件被发现

FireEye安全专家发现的恶意软件被称为TreasureHunt或TreasureHunter，该恶意软件可以窃取用户的信用卡信息然后在地下黑市出售窃取到的用户信息。安全研究人员根据证据表明该恶意软件可以追溯到2014年，最开始TreasureHunt是由SANS institute安全研究人员发现的，该恶意软件创建互斥体的来躲避杀软。美国零售商和商家的支付标准都是EMV支付标准，被不少人认为安全性极高。 2015年美国开始全面升级POS，突然加速银行卡EMV迁移，将原来读卡机更换为与EMV IC卡相容的读卡机。

然而，POS向EMV靠拢零售商需投入资金，有些零售商对EMV标准在认识上还有偏见，据Ponemon 调查，在美国小型零售商店中仍然有三分之二POS继续在使用磁卡加签名的支付方法。而值得注意的是，在测试以及技术方面的费用也是不容小视的。2016年美国零售业POS升级空间很大，但困难也不少。IHS估计美国零售业POS全面完成银行卡EMV迁移，进行卡片与设备更换改造，还存在180亿到200亿美元的资金缺口。

而银行也不得不升级自己的系统来满足EMV支付。不幸的是，已经有不少犯罪团伙开始注意到了这一点，并且开始对小型银行以及零售商下手。TreasureHunt就是这样的恶意软件工具，很显然已经有组织开始下手了。该恶意软件在受感染的设备上运行，然后记录信用卡信息，被窃取的信用卡信息发送到C&C服务器。博客中称：

“在本文中我们会一起来看看TREASUREHUNT，该POS机恶意软件似乎已经被设置在特定的场合运行，然后出售窃取到的信用卡数据。该恶意软件会枚举当前进程，然后窃取用户数据，然后将这些信息发送到C&C服务器。”

恶意软件作者被发现

FireEye安全专家认为该恶意软件窃取凭证，然后感染目标设备，并安装在“%APPDATA%”目录下，在通过创建注册表项来寄存在设备中：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

FireEye安全研究人员Nart Villeneuve在博客中称：

“恶意软件扫描所有正在运行的进程，但却忽略了几个进程包括System33、SysWOW64、 \Windows\explorer.exe，然后开始收集用户信用卡信息，然后将数据发送到服务器上。”

而目前收集的恶意软件样本显示的创建时间都是2014年10月19日，虽然样本的创建时间都差不多，但第一次注意到是在2015年11月25日和2016年3月3日之间，而新版本的变化是利用NTFS文件。

系统的ADS特性，配置信息在“%USERPROFILE%\ntuser.ini”，在0.1.1版本中发现了这些信息：

TreasureHunter version 0.1.1 Alpha, created by Jolly Roger

([email protected]) for BearsInc. Greets to Xylitol and co

Jolly Roge似乎是恶意软件的作者，另一个成员BearsInc可能已经在黑市出售信用卡数据了。

*参考来源：securityaffairs、fireeye，FB小编亲爱的兔子编译