필로우민트

PILLOWMINT는 손상된 장치에서 신용 카드 데이터를 수집하도록 설계된 PoS(Point-of-Sale) 멀웨어로 분류됩니다. 위협 요소는 트랙 및 트랙 2 데이터를 모두 얻을 수 있습니다. 트랙 1은 카드 소지자 이름, 계좌 번호(PAN), 만료일, 은행 ID 및 발급 은행이 수신 데이터를 검증하는 데 사용하는 기타 세부 정보로 구성됩니다. 트랙 2에는 카드 소유자 이름 없이 동일한 데이터가 모두 포함되어 있습니다.

Infosec 연구원은 PILLOWMINT 위협을 FIN7 그룹(Carbanak이라고도 함)으로 알려진 재정적 동기를 가진 위협 행위자에게 돌 렸습니다 . FIN7의 운영은 대부분 환대, 건강 및 레스토랑 부문을 대상으로 합니다.

기술적 세부 사항

PILLOWMINT는 손상된 shim 데이터베이스를 통해 대상 시스템에 전달됩니다. 이 기술은 위협에 대한 지속성 메커니즘으로도 작동합니다. Shim 데이터베이스는 레거시 Windows 응용 프로그램이 최신 Windows 버전에서 최적으로 작동할 수 있도록 Microsoft에서 만든 Windows 응용 프로그램 호환성 프레임워크의 일부입니다.

일단 시작되면 악성코드는 자체 활동을 기록하기 시작하고 정확한 기준에 따라 '%WinDir%\System32\MUI' 또는 '%WinDir%\System32\Sysvols'에 드롭되는 'log.log'라는 파일에 기록합니다. 위협 버전. PILLOWMINT는 8가지 수준의 로깅을 지원합니다. 레벨 0에서는 로깅이 발생하지 않지만 그 위의 각 점진적 레벨에는 점점 더 많은 세부 정보가 포함됩니다. 레벨 6, 7, 8은 사용되지 않습니다.

악성코드의 위협적인 기능에는 대상 신용 카드 세부 정보를 가져오는 메모리 스크레이퍼와 6초마다 활성화되고 현재 실행 중인 프로세스를 거치는 프로세스 목록 업데이터가 포함됩니다. 이전 PILLOWMINT 버전에도 보류 프로세스 명령 스레드가 있습니다. 이 기능은 위협의 초기 구현에서 남은 것으로 보입니다. 맬웨어 프로세스를 종료하고 자체 충돌을 시뮬레이션하는 두 가지 명령만 인식됩니다.

PILLOWMINT는 수집된 데이터를 추출하지 않는다는 점에 유의해야 합니다. 이 공격 작전에서 위협 행위자는 이미 표적 장치에 대한 완전한 통제를 획득했으며 정보는 다른 위협 도구를 통해 전송될 것이라고 가정합니다.