Хакеры FIN7 используют вредоносное ПО PILLOWMINT для очистки данных с карт

Хакерская группа FIN7 - один из самых известных финансово мотивированных участников. Это хакеры, ответственные за разработку и использование одного из самых опасных банковских троянцев Carbanak. Конечно, группа не просто полагается на старые вредоносные программы для выполнения своих операций - они регулярно вводят в свой арсенал новые семейства вредоносных программ. Одно из недавних дополнений - PILLOWMINT, которое продолжает регулярно обновляться. Похоже, что вредоносное ПО PILLOWMINT используется исключительно хакерами FIN7 и, похоже, не передается другим злоумышленникам.

Вектор заражения, который злоумышленники используют для развертывания PILLOWMINT, своеобразен. Они полагаются на вредоносные базы данных совместимости, которые могут работать через Windows Application Compatibility Framework. Это может позволить хакерам временно обойти некоторые функции безопасности Windows.

Что делает ПОДУШКА?

После запуска этот имплант внедрит свой код в законную копию процесса svchost.exe. Одной из отличительных особенностей этого вредоносного ПО является его способность регистрировать собственную активность. Вероятно, злоумышленники извлекают эти журналы для отладки, а также для того, чтобы выяснить, как они могут дополнительно оптимизировать свою атаку. Основное предназначение вредоносного ПО, конечно же, иное. Он имеет возможность читать и очищать память компьютера, чтобы искать информацию о кредитной карте. Это может означать, что точки продаж (PoS) являются конечной целью PILLOWMINT.

Помимо компонента очистки памяти, вредоносная программа обладает некоторыми интересными функциями самоуничтожения. Преступники могут инициировать удаленную команду, чтобы завершить процесс или принудить его к сбою. Последнее, вероятно, будет резервным методом завершения.

Хакеры FIN7, похоже, регулярно вводят новые вредоносные программы в свои кампании. Ранее в 2021 году банда киберпреступников FIN7 представила бэкдор Lizar .