FIN7-hackers gebruiken de PILLOWMINT-malware om kaartgegevens te wissen
De hackgroep FIN7 is een van de meest gerenommeerde financieel gemotiveerde actoren. Zij zijn de hackers die verantwoordelijk zijn voor de ontwikkeling en het gebruik van een van de gevaarlijkste banktrojaanse paarden, Carbanak. Natuurlijk vertrouwt de groep niet alleen op oude malware om hun activiteiten uit te voeren - ze introduceren regelmatig nieuwe malwarefamilies in hun arsenaal. Een van de recente toevoegingen is de PILLOWMINT, die regelmatig wordt bijgewerkt. De PILLOWMINT-malware lijkt uitsluitend door de FIN7-hackers te worden gebruikt en lijkt niet te worden gedeeld met andere dreigingsactoren.
De infectievector die de criminelen gebruiken om de PILOWMINT in te zetten is eigenaardig. Ze vertrouwen op kwaadaardige shim-databases, die door het Windows Application Compatibility Framework zouden kunnen lopen. Hierdoor kunnen hackers tijdelijk enkele beveiligingsfuncties van Windows omzeilen.
Wat doet PILLOWMINT?
Eenmaal uitgevoerd, injecteert dit implantaat zijn code in een legitieme kopie van het svchost.exe-proces. Een van de bijzondere kenmerken van deze malware is de mogelijkheid om zijn eigen activiteiten te loggen. Het is waarschijnlijk dat de criminelen deze logs ophalen voor foutopsporingsdoeleinden en om erachter te komen hoe ze hun aanval verder kunnen optimaliseren. Het primaire doel van de malware is natuurlijk anders. Het heeft de mogelijkheid om het geheugen van de computer te lezen en te schrapen om creditcardgegevens te zoeken. Dit houdt waarschijnlijk in dat point-of-sale (PoS)-apparaten het ultieme doelwit van PILOWMINT zijn.
Naast de geheugenschrapende component heeft de malware een aantal interessante zelfvernietigingsfuncties. De criminelen kunnen een commando op afstand activeren om het proces te beëindigen of te laten crashen. Dit laatste is waarschijnlijk een back-upbeëindigingstechniek.
De FIN7-hackers lijken regelmatig nieuwe malware in hun campagnes te introduceren. Eerder in 2021 introduceerde de FIN7 Cybercrime Gang de Lizar Backdoor .