PILLOWMINT

PILLOWMINT jest klasyfikowany jako złośliwe oprogramowanie PoS (Point-of-Sale), które ma na celu zbieranie danych kart kredytowych z zaatakowanych urządzeń. Zagrożenie może uzyskać dane zarówno ze Ścieżki, jak i Ścieżki 2. Ścieżka 1 składa się z imienia i nazwiska posiadacza karty, numeru konta (PAN), daty ważności, identyfikatora banku i innych danych używanych przez bank wydający do weryfikacji otrzymanych danych. Ścieżka 2 zawiera wszystkie te same dane, ale bez nazwiska posiadacza karty.

Badacze z Infosec przypisali zagrożenie PILLOWMINT finansowo motywowanemu podmiotowi zagrażającemu, znanemu jako grupa FIN7 (znana również jako Carbanak). Działalność FIN7 jest skierowana głównie do sektora hotelarskiego, zdrowotnego i restauracyjnego.

Szczegóły techniczne

PILLOWMINT jest dostarczana do docelowych systemów za pośrednictwem uszkodzonej bazy danych podkładek. Ta technika działa również jako mechanizm trwałości zagrożenia. Bazy danych Shim są częścią systemu Windows Application Compatibility Framework, który został stworzony przez firmę Microsoft, aby umożliwić starszym aplikacjom systemu Windows optymalne działanie w nowszych wersjach systemu Windows.

Po zainicjowaniu złośliwe oprogramowanie zaczyna rejestrować własną aktywność i zapisywać ją w pliku o nazwie „log.log", który jest umieszczany w „%WinDir%\System32\MUI" lub „%WinDir%\System32\Sysvols" w zależności od wersja zagrożenia. PILLOWMINT obsługuje 8 różnych poziomów logowania. Na poziomie 0 nie następuje logowanie, a każdy kolejny poziom powyżej zawiera coraz więcej szczegółów. Poziomy 6, 7 i 8 nie są używane.

Zagrożone możliwości złośliwego oprogramowania obejmują skrobak pamięci, który uzyskuje dane docelowej karty kredytowej oraz aktualizator listy procesów, który aktywuje się co 6 sekund i przechodzi przez aktualnie uruchomione procesy. Starsze wersje PILLOWMINT mają również wątek poleceń procesu wstrzymania. Ta funkcjonalność wydaje się być pozostałością po wcześniejszych wcieleniach zagrożenia. Rozpoznawane są tylko dwa polecenia - zakończ procesy złośliwego oprogramowania i zasymuluj własną awarię.

Należy zauważyć, że PILLOWMINT nie eksfiltruje zebranych danych. W tej operacji ataku zakłada się, że podmiot zagrożenia uzyskał już pełną kontrolę nad atakowanymi urządzeniami, a informacje będą przesyłane za pośrednictwem innych narzędzi zagrażających.