Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database POS Malware PILLOWMINT

PILLOWMINT

Med Mezo år POS Malware
Översätt till:
Svenska

PILLOWMINT klassificeras som en PoS (Point-of-Sale) skadlig kod som är utformad för att samla in kreditkortsdata från de komprometterade enheterna. Hotet kan få både spår- och spår 2 -data. Spår 1 består av kortinnehavarens namn, kontonummer (PAN), utgångsdatum, bank -ID och andra detaljer som används av den utfärdande banken för att validera mottagna data. Spår 2 innehåller alla samma data bara utan kortinnehavarens namn.

Infosec -forskare har tillskrivit PILLOWMINT -hotet till den ekonomiskt motiverade hotaktören som kallas FIN7 -gruppen (även spårad som Carbanak). FIN7: s verksamhet är främst inriktad på gästfrihet, hälsa och restaurang.

Tekniska detaljer

PILLOWMINT levereras till de riktade systemen via en skadad shim -databas. Denna teknik fungerar också som en uthållighetsmekanism för hotet. Shim -databaser är en del av Windows Application Compatibility Framework, som skapades av Microsoft för att tillåta äldre Windows -program att fungera optimalt på nyare Windows -versioner.

När den har startats börjar skadlig programvara att logga sin egen aktivitet och skriva den i en fil med namnet 'log.log' som släpps antingen i '%WinDir%\ System32 \ MUI' eller '%WinDir%\ System32 \ Sysvols' beroende på exakt versionen av hotet. PILLOWMINT stöder 8 olika loggningsnivåer. På nivå 0 sker ingen loggning, medan varje progressiv nivå ovanför den innehåller fler och fler detaljer. Nivåer 6, 7 och 8 används inte.

De hotfulla egenskaperna hos skadlig programvara inkluderar en minneskrapa som hämtar de riktade kreditkortsuppgifterna och en uppdateringslista för processlistor som aktiveras var 6: e sekund och går igenom de processer som för närvarande körs. Äldre PILLOWMINT -versioner har också en kommandotråd för behållningsprocess. Denna funktionalitet verkar vara en rest från tidigare inkarnationer av hotet. Endast två kommandon känns igen - avsluta dess skadliga processer och simulera sin egen krasch.

Det bör noteras att PILLOWMINT inte exfiltrerar de skördade data. I denna attackoperation antas det att hotaktören redan har uppnått full kontroll över de riktade enheterna och informationen kommer att överföras via andra hotande verktyg.

Trendigt

Mest sedda

Läser in...