هدف بدافزار «Treasurehunt»

به گزارش واحد متخصصین سایبربان؛ هر چه شرکت‌های آمریکایی با ساخت و ارائه فناوری‌های کارت‌های بانکی chip-pin سعی در مقابله با  بدافزارهای پایانه فروش دارند، مهاجمان نیز سرعت خود را برای سوء‌استفاده از سامانه‌های کارت نوار مغناطیسی که هنوز در برابر بدافزارها آسیب‌پذیر هستند، بیشتر می‌کنند. بر اساس گزارش شرکت FireEye گروهی از نفوذ گرها بانام Bears  (خرس‌ها) در پشت آخرین مورد از این حمله‌ها با استفاده از یک بدافزار پایانه فروش به نام Treasurehunt  قرار دارند.

آنچه Treasurehunt  را منحصربه‌فرد می‌کند این است که به‌صورت انحصاری توسط گروه نفوذگر خرس‌ها مورداستفاده قرار می‌گیرد و از الگوهای معمول بدافزاری که اغلب به‌صورت گسترده‌ای در بازار سیاه به فروش می‌رسند پیروی نمی‌کند. محققان می‌گویند که این کار موجب می‌شود که این بدافزار از دید بسیاری از مدیران امنیتی پنهان بماند.

تحلیلگر تهدیدهای هوشمند اساسی در شرکت فایرآی، Nart Villeneuve، می‌گوید: این گروه در زمینه سرقت اطلاعات کارت‌های اعتباری بسیار فعال هستند. آن‌ها تنها گروهی هستند که از بدافزار Treasurehunt  استفاده می‌کنند و بنابراین کار متخصصان امنیتی برای شناسایی آنان بسیار مشکل می‌شود. Villeneuve گزارش داد که علاوه بر این، این کار موجب می‌شود که آن‌ها جریان ثابتی از کارت‌های بانکی تازه را برای فروش در اختیار داشته باشند.

فایرآی گزارش می‌دهد که بدافزار پایانه فروش یک بدافزار سفارشی است و هنگامی‌که سامانه‌ را در معرض خطر قرار دهد، Treasurehunt  می‌تواند اطلاعات کارت‌های پرداخت بانکی را از حافظه سامانه‌های رایانه‌ای پایانه فروش استخراج کند و این اطلاعات را به یک کارگزار فرماندهی و کنترل که توسط گروه خرس‌ها اداره می‌شود، بفرستد.
وی اضافه کرد: همچنان که زمان برای نفوذ گرانی که سامانه‌های پایانه فروش قدیمی را در معرض حمله قرار می‌دهند، سپری می‌شود ما شاهد هجوم نرم‌افزارهای مخرب مرتبط هستیم. هیچ‌چیز به خصوصی در بدافزار Treasurehunt   وجود ندارد؛ اما مجموعه نسبتاً پراکنده آن‌ها نشان می‌دهد که Treasurehunt   ممکن است به یک روش هدفمند ایجادشده باشد. او می‌گوید که باوجود استانداردهای امنیتی داده در صنعت کارت‌های اعتباری جدید که در سال ۲۰۱۵ معرفی‌شده‌اند، بسیاری از خرده‌فروشان مستقر در آمریکا و بانک‌ها که به آهستگی این استانداردها را پیاده می‌کنند، در زمره هدف‌های اصلی بدافزار Treasurehunt قرار می‌گیرند.
بر اساس گفته‌های این شرکت، Treasurehunt  اساساً راه خود را به سمت پایانه‌های فروش از طریق اعتبارنامه‌های به سرقت رفته یا حملات گذرواژه فراگیر (brute force) باز می‌کند.
Villeneuve در گزارشی که تحقیق خود را در آن شرح می‌دهد، می‌گوید: این بدافزار همه فرایندهای در حال اجرا را که شامل SysWOW64، System33  و یا \Windows\explorer.exe در نام ماژول خود هستند پویش می‌کند. این بدافزار به دنبال داده‌های کارت اعتباری می‌گردد و اگر آن‌ها را پیدا کند، اطلاعات را به کارگزار فرماندهی خود ارسال و کنترل خود ارسال می‌کند.
Treasurehunt  به نفوذگران گروه خرس‌ها اجازه کنترل روی سامانه پایانه فروش را می‌دهد و آن‌ها را قادر می‌سازد تا اطلاعات کارت‌های پرداخت به سرقت رفته را از طریق یک رابط کاربری اینترنتی که در کارگزار فرماندهی و کنترل گروه خرس‌ها قرار دارد، جمع‌آوری کنند.

شرکت فایرآی تخمین زده است که این آسیب‌پذیری بی‌سروصدا از سال ۲۰۱۴ در حال استفاده بود است و اشاره می‌کند که مهاجمان در چند ماه گذشته آن را بهینه‌سازی کرده‌اند.
Villeneuve می‌گوید که درحالی‌که برخی از مجرمان سایبری به دنبال توسعه راه‌هایی برای بهره‌برداری از سامانه‌های chip-pin هستند، (که نوع جدیدتری از فناوری از این نوع است)، بسیاری از مجرمان سایبری از مزایای بدافزارهای پایانه فروشی که به حافظه رخنه می‌کنند و هنوز قابل‌استفاده هستند، بهره‌برداری می‌کنند.