FIN7 Hackere Brug PILLOWMINT Malware til at skrabe kortdata

FIN7 -hackergruppen er en af de mest berømte økonomisk motiverede aktører. De er hackerne, der er ansvarlige for udviklingen og brugen af en af de farligste bank -trojanske heste, Carbanak. Selvfølgelig er gruppen ikke bare afhængig af gammel malware for at køre deres operationer - de introducerer regelmæssigt nye malware -familier til deres arsenal. En af de seneste tilføjelser er PILLOWMINT, som fortsat undergår regelmæssige opdateringer. PILLOWMINT Malware ser ud til udelukkende at blive brugt af FIN7 -hackerne, og det ser ikke ud til at blive delt med andre trusselsaktører.

Den infektionsvektor, som de kriminelle bruger til at implementere PILLOWMINT, er ejendommelig. De stoler på ondsindede shim -databaser, som kan køre gennem Windows Application Compatibility Framework. Dette kan give hackerne mulighed for midlertidigt at omgå nogle af Windows -sikkerhedsfunktionerne.

Hvad gør PILLOWMINT?

Når det er kørt, injicerer dette implantat sin kode i en legitim kopi af svchost.exe -processen. En af de særegne træk ved denne malware er dens evne til at logge sin egen aktivitet. Det er sandsynligt, at de kriminelle henter disse logfiler til fejlfindingsformål samt for at finde ud af, hvordan de kan optimere deres angreb yderligere. Det primære formål med malware er naturligvis anderledes. Det har evnen til at læse og skrabe computerens hukommelse for at lede efter kreditkortoplysninger. Dette vil sandsynligvis betyde, at salgssteder (PoS) er PILLOWMINTs ultimative mål.

Ud over hukommelsesskrabningskomponenten har malware nogle interessante selvødelæggelsesfunktioner. Kriminelle kan udløse en fjernkommando for at afslutte processen eller tvinge den til at gå ned. Sidstnævnte er sandsynligvis en backup -afslutningsteknik.

FIN7 -hackerne ser ud til regelmæssigt at introducere ny malware til deres kampagner. Tidligere i 2021 introducerede FIN7 Cybercrime Gang Lizar Backdoor .