网络犯罪分子使用两个PoS恶意软件窃取了超过167000张信用卡的详细信息

两种销售点（PoS）恶意软件变体已被一个威胁行为体用于从支付终端窃取与167000多张信用卡相关的信息。

根据总部位于新加坡的网络安全公司Group IB的说法，被盗的数据转储通过在地下论坛上出售，可以为运营商净赚334万美元。

虽然大部分旨在收集支付数据的攻击都依赖于在电子商务网站上悄悄插入的JavaScript嗅探器（也称为网络嗅探器），但PoS恶意软件仍然是一种持续存在的威胁，如果不是很流行的话。

就在上个月，卡巴斯基详细介绍了一位名叫普里克斯（Prilex）的巴西威胁行为者通过欺诈交易窃取钱财的新策略。

“几乎所有的PoS恶意软件株都具有类似的卡转储提取功能，但在保持受感染设备的持久性、数据过滤和处理方面的方法不同，”研究人员尼古拉·谢列霍夫（Nikolay Shelekhov）和赛义德·哈姆奇耶夫（Said Khamchiev）说。

Treasure Hunter和它的高级继任者MajikPOS的相似之处在于，它们被设计为以暴力方式进入PoS终端，或者从其他方（称为初始访问代理）购买初始访问，然后从系统内存中提取支付卡信息，并将其转发到远程服务器。

值得注意的是，MajikPOS于2017年初首次曝光，主要影响了美国和加拿大的企业。另一方面，《寻宝人》（又名《宝藏猎人》）自2014年以来就被载入史册，其源代码在2018年遭到泄露。

IB组确认了与两个PoS恶意软件相关的指挥和控制（C2）服务器，称MajikPOS和Treasure Hunter在2022年2月至9月间泄露了77428和90024个独特的支付记录。

据说，大多数被盗卡是由美国、波多黎各、秘鲁、巴拿马、英国、加拿大、法国、波兰、挪威和哥斯达黎加的银行发行的。

该计划背后的犯罪行为人身份不明，目前尚不清楚被盗数据是否已被该组织出售以获取金钱利益。

如果发卡银行没有执行适当的保护机制，从而有效地使不良行为者能够利用克隆卡非法提取资金并进行未经授权的交易，这可能会产生严重后果。

研究人员表示：“近年来，由于PoS恶意软件的一些局限性以及在卡支付行业中实施的安全措施，它对威胁行为者的吸引力已经降低”。

“尽管如此，[…]它仍然是整个支付行业以及尚未实施最新安全措施的独立企业的重大威胁。现在注销PoS恶意软件还为时过早”。