Các nhà nghiên cứu của Trend Micro gọi nó là PwnPOS, và tin rằng nó đã được sử dụng từ kể từ năm 2013, thậm chí có thể sớm hơn. Vậy làm thế nào mà trong một thời gian dài nó mới bị phát hiện?
Trend Micro giải thích "PwnPOS là một trong những ví dụ hoàn hảo về những phần mềm độc hại có khả năng ẩn náu trong thời gian dài nhờ cấu trúc đơn giản nhưng hoàn thiện của nó".
Được tạo thành từ hai thành phần - một giao thức nhị phân sao chép RAM (RAM scraper binary) và một giao thức nhị phân (binary) chịu trách nhiệm trích xuất dữ liệu (data exfiltration) - PwnPOS hoạt động tương tự như hầu hết phần mềm độc hại POS khác: PwnPOS liệt kê tất cả các tiến trình đang chạy, nó tìm kiếm các dữ liệu thẻ thanh toán và kết xuất (dump) nó vào một tập tin riêng biệt, sau đó nén và mã hóa nó, và trích xuất nó thông qua một email đến một tài khoản mail đã được xác định trước thông qua SMTP với SSL và xác thực.
Nhà phân tích mối đe dọa, ông Jay Yaneza chia sẻ: "Thay vì sử dụng một file thực thi của bên thứ ba để gửi email, PwnPOS sử dụng một lộ trình AutoIt có sẵn trong bộ API Collaboration Data Objects (CDO) (Các đối tượng dữ liệu phối hợp) được tích hợp với Microsoft Windows".
Phần mềm độc hại đảm bảo sự tồn tại của nó và ẩn mình trên máy tính bằng cách có thể thêm và loại bỏ bản thân nó khỏi danh sách các dịch vụ, có thể tải về và xóa các tập tin khi cần thiết, có thể ngụy trang các tập tin độc hại thành những tập tin vô hại và giấu chúng trong thư mục %SYSTEM $, và PwnPOS có thể lưu trữ các dữ liệu bị đánh cắp trong một tập tin .dat ẩn náu trong thư mục % SystemRoot%\system32.
Yaneza lưu ý: "Trong khi thành phần sao chép RAM vẫn không đổi, thành phần trích xuất dữ liệu có nhiều thay đổi – từ đó ta suy ra rằng có thể có hai người khác nhau cùng tạo ra phần mềm mã độc này".
"Chúng tôi thấy PwnPOS hoạt động với các phần mềm độc hại PoS khác như BlackPOS và Alina, tấn công các doanh nghiệp vừa và nhỏ tại Nhật, APAC (Australia, Ấn Độ), NABU (Hoa Kỳ và Canada) và EMEA (Đức, Romania) đang chạy phiên bản 32-bit của Windows XP hay Windows 7".