FIN7 黑客使用 PILLOWMINT 恶意软件来抓取卡数据
FIN7 黑客组织是最著名的有经济动机的参与者之一。他们是负责开发和使用最危险的银行木马之一 Carbanak 的黑客。当然,该组织并不仅仅依靠旧的恶意软件来运行他们的操作——他们经常将新的恶意软件系列引入他们的武器库。最近添加的其中一项是 PILLOWMINT,它会继续定期更新。 PILLOWMINT 恶意软件似乎仅由 FIN7 黑客使用,并且似乎并未与其他威胁参与者共享。
犯罪分子用来部署 PILLOWMINT 的感染媒介很奇特。他们依赖于可以通过 Windows 应用程序兼容性框架运行的恶意 shim 数据库。这可能允许黑客暂时绕过某些 Windows 安全功能。
枕头薄荷有什么作用?
运行后,此植入程序会将其代码注入 svchost.exe 进程的合法副本中。该恶意软件的一项特殊功能是能够记录自己的活动。犯罪分子很可能是为了调试目的而获取这些日志,并找出他们如何进一步优化他们的攻击。当然,恶意软件的主要目的是不同的。它具有读取和抓取计算机内存以查找信用卡信息的能力。这可能意味着销售点 (PoS) 设备是 PILLOWMINT 的最终目标。
除了内存抓取组件外,该恶意软件还具有一些有趣的自毁功能。犯罪分子可以触发远程命令来终止进程或迫使其崩溃。后者很可能是一种备用终止技术。
FIN7 黑客似乎经常在他们的活动中引入新的恶意软件。 2021 年初, FIN7 网络犯罪团伙推出了 Lizar 后门。
September 3, 2021
