Χάκερ FIN7 Χρησιμοποιήστε το κακόβουλο λογισμικό PILLOWMINT για να ξύσετε δεδομένα καρτών
Η ομάδα hacking FIN7 είναι ένας από τους πιο γνωστούς ηθοποιούς με οικονομικά κίνητρα. Είναι οι χάκερ που είναι υπεύθυνοι για την ανάπτυξη και τη χρήση ενός από τους πιο επικίνδυνους τραπεζικούς Τρώες, το Carbanak. Φυσικά, η ομάδα δεν βασίζεται απλώς σε παλιά κακόβουλα προγράμματα για να εκτελέσει τις λειτουργίες της - εισάγει τακτικά νέες οικογένειες κακόβουλων προγραμμάτων στο οπλοστάσιό τους. Μία από τις πρόσφατες προσθήκες είναι το PILLOWMINT, το οποίο συνεχίζει να υποβάλλεται σε τακτικές ενημερώσεις. Το κακόβουλο λογισμικό PILLOWMINT φαίνεται να χρησιμοποιείται αποκλειστικά από τους χάκερ FIN7 και δεν φαίνεται να μοιράζεται με άλλους φορείς απειλής.
Ο φορέας μόλυνσης που χρησιμοποιούν οι εγκληματίες για να αναπτύξουν το PILLOWMINT είναι περίεργος. Βασίζονται σε κακόβουλες βάσεις δεδομένων shim, οι οποίες θα μπορούσαν να τρέξουν μέσω του πλαισίου συμβατότητας εφαρμογών των Windows. Αυτό μπορεί να επιτρέψει στους χάκερ να παρακάμψουν προσωρινά ορισμένες από τις δυνατότητες ασφαλείας των Windows.
Τι κάνει το PILLOWMINT;
Μόλις εκτελεστεί, αυτό το εμφύτευμα θα εισάγει τον κωδικό του σε ένα νόμιμο αντίγραφο της διαδικασίας svchost.exe. Ένα από τα ιδιαίτερα χαρακτηριστικά αυτού του κακόβουλου λογισμικού είναι η ικανότητά του να καταγράφει τη δική του δραστηριότητα. Είναι πιθανό ότι οι εγκληματίες λαμβάνουν αυτά τα αρχεία καταγραφής για σκοπούς εντοπισμού σφαλμάτων, καθώς και για να μάθουν πώς θα μπορούσαν να βελτιστοποιήσουν περαιτέρω την επίθεσή τους. Ο πρωταρχικός σκοπός του κακόβουλου λογισμικού είναι, φυσικά, διαφορετικός. Έχει τη δυνατότητα ανάγνωσης και απόξεσης της μνήμης του υπολογιστή προκειμένου να αναζητήσει πληροφορίες πιστωτικής κάρτας. Αυτό είναι πιθανό να υπονοεί ότι οι συσκευές σημείου πώλησης (PoS) είναι ο τελικός στόχος της PILLOWMINT.
Εκτός από το στοιχείο απόξεσης μνήμης, το κακόβουλο λογισμικό έχει μερικές ενδιαφέρουσες δυνατότητες αυτοκαταστροφής. Οι εγκληματίες μπορούν να ενεργοποιήσουν μια απομακρυσμένη εντολή για να τερματίσει τη διαδικασία ή να την αναγκάσει να καταρρεύσει. Το τελευταίο είναι πιθανώς μια εφεδρική τεχνική τερματισμού.
Οι χάκερ FIN7 φαίνεται να εισάγουν τακτικά νέο κακόβουλο λογισμικό στις καμπάνιες τους. Νωρίτερα το 2021, το FIN7 Cybercrime Gang παρουσίασε το Lizar Backdoor .
