PILLOWMINT

PILLOWMINT 被歸類為 PoS(銷售點)惡意軟件,旨在從受感染設備收集信用卡數據。威脅可以獲得Track 和Track 2 數據。 Track 1 包含持卡人姓名、帳號 (PAN)、到期日期、銀行 ID 以及發卡行用於驗證接收到的數據的其他詳細信息。磁道 2 包含所有相同的數據,只是沒有持卡人姓名。

信息安全研究人員將 PILLOWMINT 威脅歸因於被稱為 FIN7 組(也稱為 Carbanak)的出於經濟動機的威脅行為者。 FIN7 的業務主要針對酒店、健康和餐飲行業。

技術細節

PILLOWMINT 通過損壞的 shim 數據庫傳送到目標系統。此技術還充當威脅的持久性機制。 Shim 數據庫是 Windows 應用程序兼容性框架的一部分,該框架由 Microsoft 創建,以允許舊版 Windows 應用程序在較新的 Windows 版本上以最佳方式運行。

啟動後,惡意軟件開始記錄自己的活動並將其寫入名為"log.log"的文件中,該文件位於"%WinDir%\System32\MUI"或"%WinDir%\System32\Sysvols"中,具體取決於確切的版本的威脅。 PILLOWMINT 支持 8 種不同級別的日誌記錄。在級別 0 不進行日誌記錄,而其上的每個漸進級別都包含越來越多的詳細信息。不使用級別 6、7 和 8。

該惡意軟件的威脅功能包括獲取目標信用卡詳細信息的內存抓取工具和每 6 秒激活一次並遍歷當前正在運行的進程的進程列表更新程序。較舊的 PILLOWMINT 版本也有一個保持進程命令線程。此功能似乎是威脅早期版本的殘餘。僅識別兩個命令 - 終止其惡意軟件進程並模擬其自身的崩潰。

應該注意的是,PILLOWMINT 不會洩露收集到的數據。在此攻擊操作中,假設威脅參與者已經完全控制了目標設備,並且信息將通過其他威脅工具進行傳輸。

熱門

最受關注

加載中...