FIN7 įsilaužėliai Kortelės duomenims nuskaityti naudokite kenkėjišką programą „PILLOWMINT“

FIN7 įsilaužėlių grupė yra viena žinomiausių finansiškai motyvuotų veikėjų. Jie yra įsilaužėliai, atsakingi už vienos pavojingiausių bankinių Trojos arklys „Carbanak“ kūrimą ir naudojimą. Žinoma, grupė ne tik pasikliauja sena kenkėjiška programa, bet ir reguliariai į savo arsenalą įtraukia naujas kenkėjiškų programų šeimas. Vienas iš naujausių papildymų yra „PILLOWMINT“, kuris ir toliau reguliariai atnaujinamas. Panašu, kad „PILLOWMINT“ kenkėjiška programa naudojasi tik „FIN7“ įsilaužėliai ir neatrodo, kad ja būtų dalijamasi su kitais grėsmės veikėjais.

Infekcijos vektorius, kurį nusikaltėliai naudoja PILLOWMINT, yra ypatingas. Jie remiasi kenkėjiškomis duomenų bazėmis, kurios gali veikti per „Windows“ programų suderinamumo sistemą. Dėl to įsilaužėliai gali laikinai apeiti kai kurias „Windows“ saugos funkcijas.

Ką daro PILLOWMINT?

Kai šis implantas bus paleistas, jis įves savo kodą į teisėtą „svchost.exe“ proceso kopiją. Viena iš šios kenkėjiškos programos ypatybių yra jos gebėjimas registruoti savo veiklą. Tikėtina, kad nusikaltėliai ima šiuos žurnalus derinimo tikslais, taip pat norėdami sužinoti, kaip jie galėtų toliau optimizuoti savo ataką. Pagrindinis kenkėjiškų programų tikslas, žinoma, yra kitoks. Jis turi galimybę skaityti ir nuskaityti kompiuterio atmintį, kad galėtų ieškoti kredito kortelės informacijos. Tikėtina, kad tai reiškia, kad „PILLOWMINT“ galutinis tikslas yra pardavimo vietos (PoS) įrenginiai.

Be atminties nuskaitymo komponento, kenkėjiška programa turi keletą įdomių savęs naikinimo funkcijų. Nusikaltėliai gali paleisti nuotolinę komandą, kad nutrauktų procesą arba priverstų jį sudužti. Pastaroji greičiausiai yra atsarginio nutraukimo technika.

Panašu, kad FIN7 įsilaužėliai į savo kampanijas reguliariai pristato naujas kenkėjiškas programas. Anksčiau 2021 m. „ FIN7 Cybercrime Gang“ pristatė „Lizar Backdoor“ .