FIN7 Hackerek Használja a PILLOWMINT kártevőt a kártyaadatok lekaparására

A FIN7 hackercsoport az egyik leghíresebb anyagilag motivált szereplő. Ők a hackerek, akik felelősek az egyik legveszélyesebb banki trójai, a Carbanak fejlesztéséért és használatáért. Természetesen a csoport nem pusztán a régi rosszindulatú programokra támaszkodik működésük lebonyolításához - rendszeresen új malware családokat vezetnek be arzenáljukba. Az egyik legutóbbi kiegészítés a PILLOWMINT, amelyet rendszeresen frissítenek. Úgy tűnik, hogy a PILLOWMINT rosszindulatú programot kizárólag a FIN7 hackerek használják, és úgy tűnik, hogy nem osztják meg más fenyegető szereplőkkel.

Különös a fertőző vektor, amelyet a bűnözők használnak a PILLOWMINT telepítéséhez. Rosszindulatú shim adatbázisokra támaszkodnak, amelyek átfuthatnak a Windows alkalmazáskompatibilitási keretrendszeren. Ez lehetővé teszi, hogy a hackerek ideiglenesen megkerüljék a Windows biztonsági funkcióit.

Mit csinál a PILLOWMINT?

Futtatás után ez az implantátum beadja kódját az svchost.exe folyamat törvényes másolatába. Ennek a rosszindulatú programnak az egyik sajátossága, hogy képes naplózni saját tevékenységét. Valószínű, hogy a bűnözők hibakeresési célból lekérik ezeket a naplókat, valamint hogy megtudják, hogyan tudnák tovább optimalizálni támadásaikat. A rosszindulatú programok elsődleges célja természetesen más. Képes olvasni és kaparni a számítógép memóriáját a hitelkártya -adatok keresése érdekében. Ez valószínűleg azt jelenti, hogy a PILLOWMINT végső célja az értékesítési pont (PoS) eszközök.

A kártevő a memóriakaparó komponensen kívül érdekes önpusztító funkciókkal is rendelkezik. A bűnözők távoli parancsot indíthatnak a folyamat leállítására vagy összeomlásra. Ez utóbbi valószínűleg tartalék lezárási technika.

Úgy tűnik, hogy a FIN7 hackerek rendszeresen vezetnek be új kártevőket kampányaikba. Korábban, 2021 -ben a FIN7 Cybercrime Gang bemutatta a Lizar Backdoor -t .