Los ciberdelincuentes han utilizado dos tipos de malware de punto de venta (POS) para robar los detalles de más de 167.000 tarjetas de crédito de las terminales de pago.

La unidad de inteligencia de amenazas de la firma de seguridad identificó el servidor C2 en abril y determinó que los operadores robaron información de pago perteneciente a decenas de miles de titulares de tarjetas de crédito entre febrero de 2021 y el 8 de septiembre de 2022.

Casi todas las víctimas son estadounidenses con tarjetas de crédito emitidas por bancos estadounidenses.

Tras el descubrimiento, los investigadores entregaron la información a una organización de intercambio de amenazas con sede en los EEUU, así como a las agencias de aplicación de la ley. No han atribuido el malware a un grupo criminal en particular.

Los programas maliciosos MajikPOS y Treasure Hunter infectan los terminales POS de Windows y escanean los dispositivos para aprovechar los momentos en que los datos de la tarjeta se leen y almacenan en texto sin formato en la memoria.

Treasure Hunter, en particular, realiza este llamado raspado de RAM: examina minuciosamente la memoria de los procesos que se ejecutan en el registro en busca de datos de banda magnética recién extraídos de la tarjeta bancaria de un comprador durante el pago.

MajikPOS también escanea las PC infectadas en busca de datos de tarjetas. Esta información luego se transmite de vuelta al servidor C2 de los operadores de malware.