นักวิจัยจาก Kroll Cyber Security ค้นพบมัลแวร์ขนาดเล็กซึ่งมีขนาดประมาณ 6k โดยจัดอยู่ในกลุ่มของ Point-of-sale malware ถูกเรียกว่า "PinkKite" ด้วยขนาดที่เล็กทำให้มัลแวร์หลีกเลี่ยงการตรวจจับได้ง่าย

มัลแวร์ยังมีการใช้ obfuscation โดยใช้การเข้ารหัสด้วย double-XOR ซึ่งเข้ารหัสตัวเลข 16 หลักของหมายเลขบัตรเครดิตด้วยคีย์ที่กำหนดไว้ล่วงหน้าเพื่อให้การตรวจจับทำได้ยาก นอกจากนี้ยังมีการใช้ memory-scraping เพื่อดึงข้อมูลสำคัญจาก Memory ของเครื่อง

ผู้โจมตีได้ใช้สำนักหักบัญชีทั้งหมดสามแห่งในเกาหลีใต้ แคนาดาและเนเธอร์แลนด์เพื่อรับข้อมูลที่ถูกขโมย แทนที่จะส่งไปยัง C&C โดยตรง โดยข้อมูลบัตรเครดิตจะถูกเก็บไว้ในไฟล์บีบอัดที่มีชื่อเช่น. f64, .n9 หรือ. sha64 แต่ละแฟ้มข้อมูลสามารถมีได้สูงสุด 7,000 หมายเลขบัตรเครดิต และทำการจัดส่งผ่านเซอร์วิส Remote Desktop ไปยังหนึ่งในสามสำนักหักบัญชี

Kroll คาดว่าผู้โจมตีทำการโจมตีที่ระบบหลักจากนั้นใช้ PsExec เพื่อโจมตีระบบอื่นๆภายในเครือข่าย และทำการวาง malware ใน POS นอกจากนี้ผู้โจมตียังมีการใช้เครื่องมือที่ได้รับความนิยมอย่าง Mimikatz เพื่อดึงข้อมูล credentials จาก Local Security Authority Subsystem Service (LSASS) ทำให้สามารถเข้าถึงจากระยะไกลผ่านเซอร์วิส Remote Desktop (RDP) เพื่อลบข้อมูลบัตรเครดิตภายหลังได้

ที่มา : threatpost