Anti-virusbedrijven hebben gerichte aanvallen op hotelketens en onderwijsinstellingen ontdekt, waarbij de aanvallers creditcardgegevens proberen te stelen. De gebruikte malware werd naar een select aantal kleine en middelgrote ondernemingen gestuurd. Daar probeert het Trojaanse paard de point of sale (PoS) apparatuur te infecteren, die bedoeld is voor het verwerken van creditcardbetalingen.

De malware registreert zich als een Windows service en probeert track 1 en track 2 creditcardgegevens uit het werkgeheugen te lezen. Track 1 en track 2 bevatten meestal de naam van de houder, rekeningnummer, verloopdatum, CVV-code en andere informatie. Zijn de gegevens uit het geheugen gehaald, dan wordt die naar de harde schijf geschreven. Het bestand wordt vervolgens door de aanvallers gekopieerd.

"De malware is ontworpen om de door PCI/DSS compliant te zijn geboden bescherming te omzeilen, namelijk dat je geen creditcardnummers opslaat, tenzij ze versleuteld zijn", zegt Chester Wisniewski van anti-virusbedrijf Sophos.