Специалисты компании Flashpoint сообщили, что еще в марте 2018 года в открытом доступе были опубликованы исходные коды PoS-малвари TreasureHunter. Из-за чего произошла утечка доподлинно неизвестно, однако эксперты считают, что теперь следует ожидать прироста PoS-малвари. Похожие пики активности после утечки исходных кодов уже не раз демонстрировали другие угрозы, например, банкер Zeus, мобильный банкер BankBot или IoT-вреодонос Mirai.
TreasureHunter существует как минимум с 2014 года и ее авторство приписывают группировке BearsInc. Малварь, как и многие другие PoS-угрозы, используется для атак на Windows-машины. Заражая их, TreasureHunter внедряет в систему свой DLL и ключ реестра, чтобы обеспечить себе устойчивое присутствие, а затем ищет связанные с PoS процессы. Если интересующие злоумышленников процессы были обнаружены, малварь похищает из памяти зараженной машины информацию о банковских картах и передает ее на удаленный управляющий сервер злоумышленников.
Эксперты Flashpoint пишут, что сходные коды TreasureHunter были опубликованы на неназванном русскоязычном хакерском форуме, и после тщательного изучения аналитики компании сумели подтвердить их подлинность. Стоит отметить, что угрозу никак нельзя назвать новой. Оригинальный TreasureHunter написан на чистом C, без использования C++, и скомпилирован еще в Visual Studio 2013 на Windows XP.
Хотя теперь эксперты прогнозируют, что на базе исходников TreasureHunter появится немало подражателей (по данным компании, на андеграундных форумах уже активно обсуждаются возможные способы улучшения и использования вредоноса), также специалисты компании отмечают, что утечка кода позволяет ИБ-специалистам более детально изучить угрозу и разработать более эффективные методы для борьбы с ней.