PILLOWMINT

PILOWMINT is geclassificeerd als een PoS (Point-of-Sale) malware die is ontworpen om creditcardgegevens van de aangetaste apparaten te verzamelen. De dreiging kan zowel Track- als Track 2-gegevens verkrijgen. Track 1 bestaat uit de naam van de kaarthouder, het rekeningnummer (PAN), de vervaldatum, de bank-ID en andere details die door de uitgevende bank worden gebruikt om de ontvangen gegevens te valideren. Track 2 bevat allemaal dezelfde gegevens alleen zonder de naam van de kaarthouder.

Infosec-onderzoekers hebben de PILLOWMINT-dreiging toegeschreven aan de financieel gemotiveerde dreigingsactor die bekend staat als de FIN7-groep (ook gevolgd als Carbanak). De activiteiten van FIN7 zijn voornamelijk gericht op de sectoren horeca, gezondheid en restaurants.

Technische details

PILOWMINT wordt aan de beoogde systemen geleverd via een beschadigde shim-database. Deze techniek fungeert ook als een persistentiemechanisme voor de dreiging. Shim-databases maken deel uit van het Windows Application Compatibility Framework, dat door Microsoft is gemaakt om oudere Windows-applicaties optimaal te laten werken op nieuwere Windows-versies.

Eenmaal gestart, begint de malware zijn eigen activiteit te loggen en te schrijven in een bestand met de naam 'log.log' dat wordt neergezet in ofwel '%WinDir%\System32\MUI' of '%WinDir%\System32\Sysvols', afhankelijk van de exacte versie van de bedreiging. PILOWMINT ondersteunt 8 verschillende niveaus van loggen. Op niveau 0 vindt geen logging plaats, terwijl elk progressief niveau daarboven steeds meer details bevat. Niveaus 6, 7 en 8 worden niet gebruikt.

De bedreigende mogelijkheden van de malware omvatten een geheugenschraper die de gerichte creditcardgegevens verkrijgt en een proceslijst-updater die elke 6 seconden wordt geactiveerd en de momenteel lopende processen doorloopt. Oudere PILOWMINT-versies hebben ook een holdover-procesopdrachtthread. Deze functionaliteit lijkt een overblijfsel te zijn van eerdere incarnaties van de dreiging. Er worden slechts twee opdrachten herkend: beëindig de malwareprocessen en simuleer de eigen crash.

Opgemerkt moet worden dat PILOWMINT de verzamelde gegevens niet exfiltreert. Bij deze aanvalsoperatie wordt aangenomen dat de dreigingsactor al volledige controle heeft over de beoogde apparaten en dat de informatie via andere bedreigende tools wordt verzonden.

Trending

Meest bekeken

Bezig met laden...