Threat Database POS Malware ПОДУШКА

ПОДУШКА

PILLOWMINT классифицируется как вредоносная программа PoS (Point-of-Sale), предназначенная для сбора данных кредитных карт со взломанных устройств. Угроза может получить данные как Track, так и Track 2. Дорожка 1 состоит из имени держателя карты, номера счета (PAN), даты истечения срока действия, идентификатора банка и других деталей, используемых банком-эмитентом для проверки полученных данных. Дорожка 2 содержит все те же данные, только без имени держателя карты.

Исследователи Infosec приписали угрозу PILLOWMINT финансово мотивированному злоумышленнику, известному как группа FIN7 (также известная как Carbanak). Деятельность FIN7 в основном ориентирована на секторы гостеприимства, здравоохранения и ресторанного бизнеса.

Технические подробности

PILLOWMINT доставляется в целевые системы через поврежденную базу данных прокладок. Этот метод также действует как механизм сохранения угрозы. Базы данных Shim являются частью Windows Application Compatibility Framework, которая была создана Microsoft, чтобы позволить устаревшим приложениям Windows оптимально работать с новыми версиями Windows.

После запуска вредоносная программа начинает регистрировать свою активность и записывать ее в файл с именем log.log, который помещается в папку «% WinDir% \ System32 \ MUI» или «% WinDir% \ System32 \ Sysvols» в зависимости от конкретного версия угрозы. PILLOWMINT поддерживает 8 различных уровней ведения журнала. На уровне 0 регистрация не ведется, а каждый прогрессивный уровень выше включает в себя все больше и больше деталей. Уровни 6, 7 и 8 не используются.

Угрожающие возможности вредоносной программы включают в себя скребок памяти, который получает данные целевой кредитной карты, и средство обновления списка процессов, которое активируется каждые 6 секунд и просматривает текущие запущенные процессы. Более старые версии PILLOWMINT также имеют поток команд процесса удержания. Эта функция кажется пережитком более ранних воплощений угрозы. Распознаются только две команды - завершить вредоносные процессы и смоделировать собственный сбой.

Следует отметить, что PILLOWMINT не извлекает собранные данные. В этой операции атаки предполагается, что злоумышленник уже получил полный контроль над целевыми устройствами, и информация будет передаваться через другие угрожающие инструменты.

В тренде

Наиболее просматриваемые

Загрузка...