PILLOWMINT

PILLOWMINT 被归类为 PoS（销售点）恶意软件，旨在从受感染设备收集信用卡数据。威胁可以获得Track 和Track 2 数据。 Track 1 包含持卡人姓名、帐号 (PAN)、到期日期、银行 ID 以及发卡行用于验证接收到的数据的其他详细信息。磁道 2 包含所有相同的数据，只是没有持卡人姓名。

信息安全研究人员将 PILLOWMINT 威胁归因于被称为 FIN7 组（也称为 Carbanak）的出于经济动机的威胁行为者。 FIN7 的业务主要针对酒店、健康和餐饮行业。

技术细节

PILLOWMINT 通过损坏的 shim 数据库传送到目标系统。此技术还充当威胁的持久性机制。 Shim 数据库是 Windows 应用程序兼容性框架的一部分，该框架由 Microsoft 创建，以允许旧的 Windows 应用程序在较新的 Windows 版本上以最佳方式运行。

启动后，恶意软件开始记录自己的活动并将其写入名为"log.log"的文件中，该文件位于"%WinDir%\System32\MUI"或"%WinDir%\System32\Sysvols"中，具体取决于确切的版本的威胁。 PILLOWMINT 支持 8 种不同级别的日志记录。在级别 0 不进行日志记录，而其上的每个渐进级别都包含越来越多的详细信息。不使用级别 6、7 和 8。

该恶意软件的威胁功能包括获取目标信用卡详细信息的内存抓取工具和每 6 秒激活一次并遍历当前正在运行的进程的进程列表更新程序。较旧的 PILLOWMINT 版本也有一个保持进程命令线程。此功能似乎是威胁早期版本的残余。仅识别两个命令 - 终止其恶意软件进程并模拟其自身的崩溃。

应该注意的是，PILLOWMINT 不会泄露收集的数据。在此攻击操作中，假设威胁参与者已经完全控制了目标设备，并且信息将通过其他威胁工具进行传输。