PILLOWMINT

До Mezo през POS Malwareг

Превод на:

PILLOWMINT е класифициран като PoS (Point-of-Sale) злонамерен софтуер, който е предназначен за събиране на данни за кредитни карти от компрометираните устройства. Заплахата може да получи данни както за Track, така и за Track 2. Песен 1 се състои от името на притежателя на картата, номера на сметката (PAN), датата на изтичане, банковия идентификатор и други данни, използвани от банката издател за валидиране на получените данни. Песен 2 съдържа всички едни и същи данни само без името на картодържателя.

Изследователите на Infosec приписват заплахата PILLOWMINT на финансово мотивирания участник в заплахата, известен като групата FIN7 (проследява се също като Carbanak ). Дейностите на FIN7 са насочени най -вече към сектора на хотелиерството, здравеопазването и ресторантьорството.

Технически подробности

PILLOWMINT се доставя до целевите системи чрез повредена база данни за подложки. Тази техника действа и като механизъм за устойчивост на заплахата. Базите данни Shim са част от рамката за съвместимост на приложенията на Windows, създадена от Microsoft, за да позволи на наследените приложения на Windows да работят оптимално на по -новите версии на Windows.

Веднъж иницииран, зловредният софтуер започва да регистрира собствената си активност и да го записва във файл с име „log.log", който се изпуска в „%WinDir%\ System32 \ MUI" или „%WinDir%\ System32 \ Sysvols" в зависимост от точното версия на заплахата. PILLOWMINT поддържа 8 различни нива на регистриране. На ниво 0 не се извършва регистриране, докато всяко прогресивно ниво над него включва все повече и повече подробности. Нива 6, 7 и 8 не се използват.

Заплашващите възможности на зловредния софтуер включват скрепер за памет, който получава данните за целевата кредитна карта и актуализатор на списък с процеси, който се активира на всеки 6 секунди и преминава през текущите процеси. По -старите версии на PILLOWMINT също имат командна нишка за процес на задържане. Тази функционалност изглежда е остатък от по -ранните въплъщения на заплахата. Разпознават се само две команди - прекратяване на зловредните му процеси и симулиране на собствения им срив.

Трябва да се отбележи, че PILLOWMINT не ексфилтрира събраните данни. В тази операция за атака се предполага, че участникът в заплахата вече е постигнал пълен контрол над целевите устройства и информацията ще се предава чрез други заплашителни инструменти.