PILLOWMINT

Por Mezo em POS Malware

Traduzir Para:

O PILLOWMINT é classificado como um malware PoS (Point-of-Sale) que foi projetado para coletar dados do cartão de crédito dos dispositivos comprometidos. A ameaça pode obter os dados do Track e do Track 2. O Track 1 consiste no nome do titular do cartão, número da conta (PAN), data de validade, ID do banco e outros detalhes usados pelo banco emissor para validar os dados recebidos. O Track 2 contém todos os mesmos dados, mas sem o nome do titular do cartão.

Os pesquisadores de Infosec atribuíram a ameaça PILLOWMINT ao ator de ameaças com motivação financeira, conhecido como grupo FIN7 (também rastreado como Carbanak ). As operações da FIN7 são principalmente direcionadas aos setores de hospitalidade, saúde e restaurantes.

Detalhes Técnicos

O PILLOWMINT é entregue aos sistemas visado por meio de um banco de dados de shims corrompido. Essa técnica também atua como um mecanismo de persistência para a ameaça. Os bancos de dados Shim fazem parte do Windows Application Compatibility Framework, que foi criado pela Microsoft para permitir que os aplicativos herdados do Windows funcionem de maneira ideal nas versões mais recentes do Windows.

Depois de iniciado, o malware começa a registrar sua própria atividade e a gravá-la em um arquivo chamado '%WinDir%\System32\MUI' or '%WinDir%\System32\Sysvols', dependendo da exata versão da ameaça. O PILLOWMINT suporta 8 níveis diferentes de registro. No nível 0, nenhum registro ocorre, enquanto cada nível progressivo acima inclui mais e mais detalhes. Os níveis 6, 7 e 8 não são usados.

Os recursos ameaçadores do malware incluem um raspador de memória que obtém os detalhes do cartão de crédito alvo e um atualizador de lista de processos que é ativado a cada 6 segundos e passa pelos processos em execução no momento. As versões mais antigas do PILLOWMINT também possuem um thread de comando de processo remanescente. Essa funcionalidade parece ser um resquício de encarnações anteriores da ameaça. Apenas dois comandos são reconhecidos - encerrar seus processos de malware e simular seu próprio travamento.

Deve-se notar que PILLOWMINT não exfiltra os dados coletados. Nessa operação de ataque, presume-se que o agente da ameaça já obteve controle total sobre os dispositivos visados e as informações serão transmitidas por meio de outras ferramentas de ameaça.

Buscar

Mudar de região

PILLOWMINT

Detalhes Técnicos

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela