FIN7 黑客使用 PILLOWMINT 惡意軟件來抓取卡數據
FIN7 黑客組織是最著名的有經濟動機的參與者之一。他們是負責開發和使用最危險的銀行木馬之一 Carbanak 的黑客。當然,該組織並不僅僅依靠舊的惡意軟件來運行他們的操作——他們經常將新的惡意軟件系列引入他們的武器庫。最近添加的其中一項是 PILLOWMINT,它會繼續定期更新。 PILLOWMINT 惡意軟件似乎僅由 FIN7 黑客使用,並且似乎並未與其他威脅參與者共享。
犯罪分子用來部署 PILLOWMINT 的感染媒介很奇特。他們依賴於可以通過 Windows 應用程序兼容性框架運行的惡意 shim 數據庫。這可能允許黑客暫時繞過某些 Windows 安全功能。
枕頭薄荷有什麼作用?
運行後,此植入程序會將其代碼注入 svchost.exe 進程的合法副本中。該惡意軟件的一項特殊功能是能夠記錄自己的活動。犯罪分子很可能是為了調試目的而獲取這些日誌,並找出他們如何進一步優化他們的攻擊。當然,惡意軟件的主要目的是不同的。它具有讀取和抓取計算機內存以查找信用卡信息的能力。這可能意味著銷售點 (PoS) 設備是 PILLOWMINT 的最終目標。
除了內存抓取組件外,該惡意軟件還具有一些有趣的自毀功能。犯罪分子可以觸發遠程命令來終止進程或迫使其崩潰。後者很可能是一種備用終止技術。
FIN7 黑客似乎經常在他們的活動中引入新的惡意軟件。 2021 年初, FIN7 網絡犯罪團伙推出了 Lizar 後門。
September 3, 2021
