Hakerzy FIN7 wykorzystują złośliwe oprogramowanie PILLOWMINT do wykradania danych z kart
Grupa hakerska FIN7 jest jednym z najbardziej znanych aktorów motywowanych finansowo. Są to hakerzy odpowiedzialni za rozwój i wykorzystywanie jednego z najniebezpieczniejszych trojanów bankowych Carbanak. Oczywiście grupa nie polega po prostu na starym złośliwym oprogramowaniu do prowadzenia swoich działań – regularnie wprowadza do swojego arsenału nowe rodziny złośliwego oprogramowania. Jednym z ostatnich dodatków jest PILLOWMINT, który nadal podlega regularnym aktualizacjom. Złośliwe oprogramowanie PILLOWMINT wydaje się być wykorzystywane wyłącznie przez hakerów FIN7 i nie wydaje się, aby było udostępniane innym cyberprzestępcom.
Wektor infekcji używany przez przestępców do rozmieszczenia PILLOWMINT jest specyficzny. Opierają się na złośliwych podkładkach baz danych, które mogą działać w ramach Windows Application Compatibility Framework. Może to umożliwić hakerom tymczasowe ominięcie niektórych funkcji zabezpieczeń systemu Windows.
Co robi PILLOWMINT?
Po uruchomieniu ten implant wstrzyknie swój kod w legalną kopię procesu svchost.exe. Jedną z osobliwych cech tego szkodliwego oprogramowania jest możliwość rejestrowania własnej aktywności. Jest prawdopodobne, że przestępcy pobierają te dzienniki w celu debugowania, a także aby dowiedzieć się, w jaki sposób mogliby jeszcze bardziej zoptymalizować swój atak. Główny cel tego szkodliwego oprogramowania jest oczywiście inny. Posiada możliwość odczytywania i przeszukiwania pamięci komputera w celu wyszukania informacji o karcie kredytowej. Może to sugerować, że ostatecznym celem PILLOWMINT są urządzenia w punktach sprzedaży (PoS).
Oprócz komponentu zgarniania pamięci złośliwe oprogramowanie ma kilka interesujących funkcji samozniszczenia. Przestępcy mogą uruchomić zdalne polecenie, aby zakończyć proces lub wymusić jego awarię. Ta ostatnia prawdopodobnie będzie techniką terminacji kopii zapasowych.
Hakerzy FIN7 wydają się regularnie wprowadzać do swoich kampanii nowe złośliwe oprogramowanie. Wcześniej, w 2021 roku, FIN7 Cybercrime Gang wprowadził backdoora Lizar .