Họ phần mềm độc hại PoS đã xuất hiện từ năm 2014, có khả năng trích xuất thông tin thẻ tín dụng và thẻ ghi nợ từ các tiến trình chạy trên các hệ thống bị lây nhiễm. Để thực hiện các hoạt động bất chính của mình, chúng quét tất cả các tiến trình trên máy để tìm kiếm dữ liệu thẻ thanh toán, sau đó gửi thông tin tới các máy chủ điều khiển và ra lệnh (C&C). Mã nguồn của phần mềm độc hại đã được đăng tải trên một diễn đàn bằng tiếng Nga.
Việc này sẽ cho phép tội phạm mạng phát triển các biến thể phần mềm độc hại PoS của mình và bắt đầu sử dụng chúng trong các cuộc tấn công. Tuy nhiên, tính khả dụng của mã cũng cung cấp cho các nhà nghiên cứu bảo mật khả năng phân tích mối đe dọa tốt hơn. Thực tế, Flashpoint đã phát hiện ra sự rò rỉ vào tháng 3 và đã làm việc với Cisco Talos để cải thiện sự bảo vệ và ngăn chặn các khả năng lợi dụng mã nguồn bị rò rỉ.
Các nhà nghiên cứu cho biết: “Tội phạm mạng nói tiếng Nga đã được quan sát trong các hoạt động bí mật thảo về những cải tiến và vũ trang từ mã nguồn bị rò rỉ của TreasureHunter”.
Nhà phát triển phần mềm độc hại ban đầu có thể là người nói tiếng Nga, thành thạo tiếng Anh. Theo Flashpoint, mối đe dọa ban đầu có thể được phát triển cho người bán hàng phá giá ngầm nổi tiếng BearsInc, nhưng không rõ tại sao mã lại bị rò rỉ.
TreasureHunter có thể được cài đặt sử dụng thông tin đăng nhập yếu. Tin tặc truy nhập vào một máy chủ dựa trên Windows và thiết bị PoS (point-of-sale), kích hoạt mối đe dọa, sau đó thiết lập tồn tại thông qua việc tạo một khóa đăng ký để thực thi phần mềm độc hại lúc khởi động.
Mối đe dọa liệt kê các tiền trình đang chạy và bắt đầu quét bộ nhớ của thiết bị để theo dõi dữ liệu như số tài khoản chính (PAN), mã dịch vụ…. Tiếp theo, nó thiết lập kết nối với C&C và gửi dữ liệu đánh cắp được cho kẻ tấn công.
Dự án mã được gọi là trhutt34C. Phần mềm độc hại được viết bằng ngôn ngữ C thuần túy, không có các tính năng C và ban đầu được biên dịch trong Visual Studio 2013 trên Windows XP. Các nhà nghiên cứu tin rằng người tạo phần mềm độc hại này cũng đang tìm cách cải thiện và thiết kế lại các tính năng khác bao gồm chống gỡ lỗi (anti-debugging), cấu trúc mã và cổng logic truyền thông.
Mã nguồn phù hợp với các mẫu TreasureHunter đã được phân tích trước đây và tập tin config.hcho thấy “các dấu hiệu sửa đổi nhất định trong suốt thời gian tồn tại của phần mềm độc hại”. Các mẫu gần đây hơn ghi các giá trị cấu hình hữu ích trực tiếp vào các trường, làm cho các giá trị này nhỏ hơn.