PILLOWMINT
PILLOWMINT को PoS (प्वाइंट-ऑफ-सेल) मैलवेयर के रूप में वर्गीकृत किया गया है जिसे समझौता किए गए उपकरणों से क्रेडिट कार्ड डेटा एकत्र करने के लिए डिज़ाइन किया गया है। खतरा ट्रैक और ट्रैक 2 डेटा दोनों प्राप्त कर सकता है। ट्रैक 1 में कार्डधारक का नाम, खाता संख्या (पैन), समाप्ति तिथि, बैंक आईडी और प्राप्त डेटा को मान्य करने के लिए जारीकर्ता बैंक द्वारा उपयोग किए जाने वाले अन्य विवरण शामिल हैं। ट्रैक 2 में कार्डधारक के नाम के बिना सभी समान डेटा होते हैं।
Infosec के शोधकर्ताओं ने PILLOWMINT के खतरे के लिए FIN7 समूह (जिसे Carbanak भी कहा जाता है) के रूप में जाना जाने वाला आर्थिक रूप से प्रेरित खतरा अभिनेता को जिम्मेदार ठहराया है। FIN7 के संचालन ज्यादातर आतिथ्य, स्वास्थ्य और रेस्तरां क्षेत्रों पर लक्षित हैं।
तकनीकी जानकारी
PILLOWMINT को दूषित शिम डेटाबेस के माध्यम से लक्षित सिस्टम तक पहुंचाया जाता है। यह तकनीक खतरे के लिए दृढ़ता तंत्र के रूप में भी कार्य करती है। शिम डेटाबेस विंडोज एप्लीकेशन कम्पैटिबिलिटी फ्रेमवर्क का हिस्सा हैं, जिसे माइक्रोसॉफ्ट द्वारा पुराने विंडोज अनुप्रयोगों को नए विंडोज संस्करणों पर बेहतर तरीके से काम करने की अनुमति देने के लिए बनाया गया था।
एक बार शुरू होने के बाद, मैलवेयर अपनी गतिविधि को लॉग करना शुरू कर देता है और इसे 'log.log' नाम की एक फ़ाइल में लिखना शुरू कर देता है जिसे '%WinDir%\System32\MUI' या '%WinDir%\System32\Sysvols' में छोड़ दिया जाता है, जो कि सटीक पर निर्भर करता है खतरे का संस्करण। PILLOWMINT लॉगिंग के 8 विभिन्न स्तरों का समर्थन करता है। स्तर 0 पर कोई लॉगिंग नहीं होती है, जबकि इसके ऊपर के प्रत्येक प्रगतिशील स्तर में अधिक से अधिक विवरण शामिल होते हैं। स्तर 6, 7, और 8 का उपयोग नहीं किया जाता है।
मैलवेयर की खतरनाक क्षमताओं में एक मेमोरी स्क्रैपर शामिल है जो लक्षित क्रेडिट कार्ड विवरण प्राप्त करता है और एक प्रक्रिया सूची अद्यतनकर्ता जो हर 6 सेकंड में सक्रिय होता है और वर्तमान में चल रही प्रक्रियाओं से गुजरता है। पुराने PILLOWMINT संस्करणों में होल्डओवर प्रोसेस कमांड थ्रेड भी होता है। यह कार्यक्षमता खतरे के पहले के अवतारों के अवशेष प्रतीत होती है। केवल दो आदेशों की पहचान की जाती है - इसकी मैलवेयर प्रक्रियाओं को समाप्त करें और अपने स्वयं के क्रैश का अनुकरण करें।
यह ध्यान दिया जाना चाहिए कि PILLOWMINT काटे गए डेटा को बाहर नहीं निकालता है। इस हमले के ऑपरेशन में, यह माना जाता है कि धमकी देने वाले ने पहले ही लक्षित उपकरणों पर पूर्ण नियंत्रण हासिल कर लिया है और अन्य धमकी देने वाले उपकरणों के माध्यम से सूचना प्रसारित की जाएगी।
