FIN7 Hackere Bruk PILLOWMINT Malware for å skrape kortdata

FIN7 -hackergruppen er en av de mest kjente økonomisk motiverte aktørene. De er hackere som er ansvarlige for utviklingen og bruken av en av de farligste banktrojanerne, Carbanak. Selvfølgelig er gruppen ikke bare avhengig av gammel skadelig programvare for å drive sin virksomhet - de introduserer regelmessig nye malware -familier for arsenalet sitt. En av de siste tilleggene er PILLOWMINT, som fortsetter å gjennomgå regelmessige oppdateringer. Det ser ut til at PILLOWMINT Malware utelukkende brukes av FIN7 -hackerne, og det ser ikke ut til å bli delt med andre trusselaktører.

Infeksjonsvektoren som de kriminelle bruker for å distribuere PILLOWMINT er særegen. De stoler på ondsinnede shim -databaser, som kan kjøres gjennom Windows Application Compatibility Framework. Dette kan gjøre at hackerne midlertidig kan omgå noen av Windows -sikkerhetsfunksjonene.

Hva gjør PILLOWMINT?

Når det er kjørt, vil dette implantatet injisere koden i en legitim kopi av svchost.exe -prosessen. En av de særegne egenskapene til denne skadelige programvaren er dens evne til å logge sin egen aktivitet. Det er sannsynlig at de kriminelle henter disse loggene for feilsøkingsformål, samt for å finne ut hvordan de kan optimalisere angrepet ytterligere. Hovedformålet med skadelig programvare er selvfølgelig annerledes. Den har muligheten til å lese og skrape datamaskinens minne for å se etter kredittkortinformasjon. Dette vil sannsynligvis antyde at salgssteder (PoS) er PILLOWMINTs endelige mål.

I tillegg til minneskrapingskomponenten, har skadelig programvare noen interessante selvødeleggelsesfunksjoner. Kriminelle kan utløse en fjernkommando for å avslutte prosessen eller tvinge den til å krasje. Sistnevnte er sannsynligvis en sikkerhetskopieringsteknikk.

FIN7 -hackerne ser ut til å regelmessig introdusere ny skadelig programvare i kampanjene sine. Tidligere i 2021 introduserte FIN7 Cybercrime Gang Lizar Backdoor .