FIN7ハッカーはPILLOWMINTマルウェアを使用してカードデータをスクレイプします
FIN7ハッキンググループは、最も有名な経済的動機のあるアクターの1つです。彼らは、最も危険なバンキング型トロイの木馬の1つであるCarbanakの開発と使用を担当するハッカーです。もちろん、このグループは単に古いマルウェアに依存して運用を行っているのではなく、定期的に新しいマルウェアファミリーを武器に導入しています。最近追加されたものの1つは、定期的な更新が継続されるPILLOWMINTです。 PILLOWMINTマルウェアは、FIN7ハッカーによって排他的に使用されているようであり、他の脅威アクターと共有されていないようです。
犯罪者がPILLOWMINTを展開するために使用する感染ベクトルは独特です。彼らは、Windowsアプリケーション互換性フレームワークを介して実行される可能性のある悪意のあるシムデータベースに依存しています。これにより、ハッカーはWindowsのセキュリティ機能の一部を一時的にバイパスできる可能性があります。
PILLOWMINTは何をしますか?
実行されると、このインプラントはsvchost.exeプロセスの正当なコピーにコードを挿入します。このマルウェアの特徴の1つは、自身のアクティビティをログに記録する機能です。犯罪者は、デバッグの目的で、また攻撃をさらに最適化する方法を見つけるために、これらのログを取得している可能性があります。もちろん、マルウェアの主な目的は異なります。クレジットカード情報を探すために、コンピュータのメモリを読み取ってスクレイピングする機能があります。これは、POS(point-of-sale)デバイスがPILLOWMINTの究極のターゲットであることを意味している可能性があります。
メモリスクレイピングコンポーネントに加えて、マルウェアにはいくつかの興味深い自己破壊機能があります。犯罪者は、リモートコマンドをトリガーして、プロセスを終了したり、強制的にクラッシュさせたりすることができます。後者は、バックアップ終了手法である可能性があります。
FIN7ハッカーは、キャンペーンに新しいマルウェアを定期的に導入しているようです。 2021年の初めに、 FIN7サイバー犯罪ギャングはLizarBackdoorを導入しました。