PILLOWMINT

PILLOWMINT er klassificeret som en PoS (Point-of-Sale) malware, der er designet til at indsamle kreditkortdata fra de kompromitterede enheder. Truslen kan få både Track and Track 2 -data. Spor 1 består af kortholderens navn, kontonummer (PAN), udløbsdato, bank -id og andre oplysninger, der bruges af den udstedende bank til at validere de modtagne data. Spor 2 indeholder alle de samme data bare uden kortholderens navn.

Infosec -forskere har tilskrevet PILLOWMINT -truslen til den økonomisk motiverede trusselsaktør kendt som FIN7 -gruppen (også sporet som Carbanak). FIN7s aktiviteter er hovedsageligt målrettet mod gæstfrihed, sundhed og restaurant.

Tekniske detaljer

PILLOWMINT leveres til de målrettede systemer via en beskadiget shim -database. Denne teknik fungerer også som en persistensmekanisme for truslen. Shim -databaser er en del af Windows Application Compatibility Framework, som blev oprettet af Microsoft for at give ældre Windows -applikationer mulighed for at fungere optimalt på nyere Windows -versioner.

Når den er startet, begynder malware at logge sin egen aktivitet og skrive den i en fil med navnet 'log.log', der falder i enten '%WinDir%\ System32 \ MUI' eller '%WinDir%\ System32 \ Sysvols' afhængigt af den nøjagtige version af truslen. PILLOWMINT understøtter 8 forskellige logningsniveauer. På niveau 0 finder der ingen logning sted, mens hvert progressivt niveau over det indeholder flere og flere detaljer. Niveau 6, 7 og 8 bruges ikke.

De truende muligheder for malware inkluderer en hukommelseskraber, der opnår de målrettede kreditkortoplysninger og en opdateringsliste til proceslister, der aktiveres hvert 6. sekund og gennemgår de aktuelt kørende processer. Ældre PILLOWMINT -versioner har også en kommando -tråd til overgangsproces. Denne funktionalitet ser ud til at være en rest fra tidligere inkarnationer af truslen. Kun to kommandoer genkendes - afslut sine malware -processer og simuler sit eget nedbrud.

Det skal bemærkes, at PILLOWMINT ikke eksfiltrerer de høstede data. I denne angrebsoperation antages det, at trusselsaktøren allerede har opnået fuld kontrol over de målrettede enheder, og oplysningerne vil blive transmitteret via andre truende værktøjer.