FIN7 Hackare Använd PILLOWMINT Malware för att skrapa kortdata

Hack7 -gruppen FIN7 är en av de mest kända finansiellt motiverade aktörerna. De är hackarna som ansvarar för utvecklingen och användningen av en av de farligaste banktrojanerna, Carbanak. Naturligtvis förlitar sig gruppen inte bara på gammal skadlig kod för att driva sin verksamhet - de introducerar regelbundet nya familjer med skadlig kod för sin arsenal. Ett av de senaste tilläggen är PILLOWMINT, som fortsätter att genomgå regelbundna uppdateringar. PILLOWMINT Malware verkar endast användas av FIN7 -hackarna, och det verkar inte delas med andra hotaktörer.

Infektionsvektorn som de kriminella använder för att distribuera PILLOWMINT är märklig. De förlitar sig på skadliga shim -databaser som kan köras via Windows Application Compatibility Framework. Detta kan göra att hackarna tillfälligt kan kringgå några av Windows säkerhetsfunktioner.

Vad gör PILLOWMINT?

När det har körts kommer detta implantat att injicera sin kod i en legitim kopia av svchost.exe -processen. En av de särdrag hos denna skadliga programvara är dess förmåga att logga sin egen aktivitet. Det är troligt att brottslingarna hämtar dessa loggar för felsökningsändamål, liksom för att ta reda på hur de kan optimera deras attack ytterligare. Det främsta syftet med skadlig programvara är naturligtvis annorlunda. Den har förmågan att läsa och skrapa datorns minne för att leta efter kreditkortsinformation. Detta kommer sannolikt att innebära att Point-of-sale (PoS) -enheter är PILLOWMINT: s slutliga mål.

Förutom minneskrapningskomponenten har skadlig programvara några intressanta funktioner för självförstörelse. Kriminella kan utlösa ett fjärrkommando för att avsluta processen eller tvinga den att krascha. Det senare är sannolikt en säkerhetskopieringsteknik.

FIN7 -hackarna verkar regelbundet introducera ny skadlig kod i sina kampanjer. Tidigare år 2021 introducerade FIN7 Cybercrime Gang Lizar Backdoor .