メモ

研究者たちは、その脅威が遅くとも2014年の後半ごろから活動していたという証拠を発見した。「TreasureHunt」を最初に発見したSANS Instituteの研究者たちは、このマルウェアが検出を避けるためにミューテックス名を生成していることに気づいた。
TreasureHuntは、感染先のシステムで実行されているプロセスを列挙する。またクレジットカードとデビットカードの情報を抽出するメモリースクレイピングの機能を実装する。盗んだカードデータは、HTTP POSTリクエストを介してC＆Cサーバーに送信される。
このマルウェアを2016年に分析したFireEyeの専門家たちは、サイバー犯罪者が「盗まれた（あるいは脆弱な）クレデンシャルを利用してPoSシステムを危殆化している」ということを見つけた。TreasureHuntはシステムに感染すると、自身を直接「％APPDATA％」にインストールし、レジストリエントリを作成することで持続性を維持する。

PoSマルウェア「TreasureHunter」のソースコードがオンラインに流出 - THE ZERO/ONE