PILLOWMINT

PILLOWMINT è classificato come un malware PoS (Point-of-Sale) progettato per raccogliere i dati della carta di credito dai dispositivi compromessi. La minaccia può ottenere sia i dati Track che Track 2. La traccia 1 è costituita dal nome del titolare della carta, dal numero di conto (PAN), dalla data di scadenza, dall'ID banca e da altri dettagli utilizzati dalla banca emittente per convalidare i dati ricevuti. La traccia 2 contiene tutti gli stessi dati solo senza il nome del titolare della carta.

I ricercatori di Infosec hanno attribuito la minaccia PILLOWMINT all'attore di minacce finanziariamente motivato noto come il gruppo FIN7 (anche tracciato come Carbanak). Le operazioni di FIN7 sono principalmente rivolte ai settori dell'ospitalità, della salute e della ristorazione.

Dettagli tecnici

PILLOWMINT viene fornito ai sistemi di destinazione tramite un database di spessori danneggiato. Questa tecnica funge anche da meccanismo di persistenza della minaccia. I database Shim fanno parte di Windows Application Compatibility Framework, creato da Microsoft per consentire alle applicazioni Windows legacy di funzionare in modo ottimale sulle versioni Windows più recenti.

Una volta avviato, il malware inizia a registrare la propria attività e a scriverla in un file denominato "log.log" che viene inserito in "%WinDir%\System32\MUI" o "%WinDir%\System32\Sysvols" a seconda dell'esatto versione della minaccia PILLOWMINT supporta 8 diversi livelli di registrazione. Al livello 0 non avviene alcuna registrazione, mentre ogni livello progressivo superiore include sempre più dettagli. I livelli 6, 7 e 8 non vengono utilizzati.

Le capacità minacciose del malware includono un raschietto di memoria che ottiene i dettagli della carta di credito mirati e un aggiornamento dell'elenco dei processi che si attiva ogni 6 secondi e passa attraverso i processi attualmente in esecuzione. Le versioni precedenti di PILLOWMINT hanno anche un thread di comando del processo di holdover. Questa funzionalità sembra essere un residuo di precedenti incarnazioni della minaccia. Vengono riconosciuti solo due comandi: terminare i suoi processi malware e simulare il proprio arresto anomalo.

Va notato che PILLOWMINT non esfiltra i dati raccolti. In questa operazione di attacco, si presume che l'autore della minaccia abbia già ottenuto il pieno controllo sui dispositivi mirati e che le informazioni verranno trasmesse tramite altri strumenti minacciosi.