Les pirates FIN7 utilisent le logiciel malveillant PILLOWMINT pour gratter les données de la carte
Le groupe de piratage FIN7 est l'un des acteurs les plus renommés financièrement motivés. Ce sont les pirates informatiques responsables du développement et de l'utilisation de l'un des chevaux de Troie bancaires les plus dangereux, Carbanak. Bien entendu, le groupe ne se contente pas de s'appuyer sur d'anciens logiciels malveillants pour exécuter ses opérations – il introduit régulièrement de nouvelles familles de logiciels malveillants dans son arsenal. L'un des ajouts récents est le PILLOWMINT, qui continue de subir des mises à jour régulières. Le logiciel malveillant PILLOWMINT semble être utilisé exclusivement par les pirates de FIN7 et il ne semble pas être partagé avec d'autres acteurs de la menace.
Le vecteur d'infection que les criminels utilisent pour déployer le PILLOWMINT est particulier. Ils s'appuient sur des bases de données de shim malveillantes, qui pourraient s'exécuter via le cadre de compatibilité des applications Windows. Cela peut permettre aux pirates de contourner temporairement certaines des fonctionnalités de sécurité de Windows.
Que fait la MENTHE D'OREILLER ?
Une fois exécuté, cet implant injectera son code dans une copie légitime du processus svchost.exe. L'une des caractéristiques particulières de ce malware est sa capacité à enregistrer sa propre activité. Il est probable que les criminels récupèrent ces journaux à des fins de débogage, ainsi que pour découvrir comment ils pourraient optimiser davantage leur attaque. Le but principal du malware est, bien sûr, différent. Il a la capacité de lire et de gratter la mémoire de l'ordinateur afin de rechercher des informations de carte de crédit. Cela implique probablement que les appareils de point de vente (PoS) sont la cible ultime de PILLOWMINT.
En plus du composant de grattage de mémoire, le malware possède des fonctionnalités d'autodestruction intéressantes. Les criminels peuvent déclencher une commande à distance pour mettre fin au processus ou le forcer à se bloquer. Ce dernier est susceptible d'être une technique de terminaison de secours.
Les pirates de FIN7 semblent introduire régulièrement de nouveaux logiciels malveillants dans leurs campagnes. Plus tôt en 2021, le FIN7 Cybercrime Gang a introduit la porte dérobée Lizar .