PILLOWMINT

PILLOWMINT, güvenliği ihlal edilmiş cihazlardan kredi kartı verilerini toplamak için tasarlanmış bir PoS (Satış Noktası) kötü amaçlı yazılımı olarak sınıflandırılır. Tehdit, hem İzleme hem de İzleme 2 verilerini alabilir. Parça 1, kart sahibi adı, hesap numarası (PAN), son kullanma tarihi, banka kimliği ve kartı veren banka tarafından alınan verileri doğrulamak için kullanılan diğer ayrıntılardan oluşur. Track 2, kart sahibinin adı olmadan aynı verilerin tümünü içerir.

Infosec araştırmacıları, PILLOWMINT tehdidini, FIN7 grubu (Carbanak olarak da izlenir) olarak bilinen finansal olarak motive edilmiş tehdit aktörüne bağladılar. FIN7'nin faaliyetleri çoğunlukla konaklama, sağlık ve restoran sektörlerine yöneliktir.

Teknik detaylar

PILLOWMINT, bozuk bir şim veritabanı aracılığıyla hedeflenen sistemlere iletilir. Bu teknik aynı zamanda tehdit için bir kalıcılık mekanizması görevi görür. Shim veritabanları, eski Windows uygulamalarının daha yeni Windows sürümlerinde en iyi şekilde çalışmasına izin vermek için Microsoft tarafından oluşturulan Windows Uygulama Uyumluluk Çerçevesinin bir parçasıdır.

Başlatıldıktan sonra, kötü amaçlı yazılım kendi etkinliğini günlüğe kaydetmeye ve bunu, kesin durumuna bağlı olarak '%WinDir%\System32\MUI' veya '%WinDir%\System32\Sysvols' içine bırakılan 'log.log' adlı bir dosyaya yazmaya başlar. tehdidin versiyonu. PILLOWMINT, 8 farklı kayıt seviyesini destekler. Seviye 0'da günlük kaydı yapılmaz, bunun üzerindeki her aşamalı seviye daha fazla ayrıntı içerir. Seviye 6, 7 ve 8 kullanılmaz.

Kötü amaçlı yazılımın tehdit edici yetenekleri arasında, hedeflenen kredi kartı ayrıntılarını alan bir bellek kazıyıcı ve her 6 saniyede bir etkinleşen ve şu anda çalışan işlemlerden geçen bir işlem listesi güncelleyici bulunur. Daha eski PILLOWMINT sürümlerinde ayrıca bir tutma işlemi komut dizisi vardır. Bu işlevsellik, tehdidin önceki enkarnasyonlarından bir kalıntı gibi görünüyor. Yalnızca iki komut tanınır - kötü amaçlı yazılım işlemlerini sonlandırın ve kendi çökmesini simüle edin.

PILLOWMINT'in hasat edilen verileri dışarı sızdırmadığı unutulmamalıdır. Bu saldırı operasyonunda, tehdit aktörünün hedeflenen cihazlar üzerinde zaten tam kontrole sahip olduğu ve bilgilerin diğer tehdit araçları aracılığıyla iletileceği varsayılmaktadır.