PILLOWMINT
PILLOWMINT wird als PoS (Point-of-Sale)-Malware klassifiziert, die darauf ausgelegt ist, Kreditkartendaten von den kompromittierten Geräten zu sammeln. Die Bedrohung kann sowohl Track- als auch Track-2-Daten abrufen. Track 1 besteht aus dem Namen des Karteninhabers, der Kontonummer (PAN), dem Ablaufdatum, der Bank-ID und anderen Details, die von der ausstellenden Bank verwendet werden, um die empfangenen Daten zu validieren. Track 2 enthält dieselben Daten nur ohne den Namen des Karteninhabers.
Forscher von Infosec haben die PILLOWMINT-Bedrohung dem finanziell motivierten Bedrohungsakteur FIN7-Gruppe (auch als Carbanak verfolgt ) zugeschrieben. Die Aktivitäten von FIN7 sind hauptsächlich auf die Bereiche Gastgewerbe, Gesundheit und Gastronomie ausgerichtet.
Technische Details
PILLOWMINT wird über eine beschädigte Shim-Datenbank an die Zielsysteme geliefert. Diese Technik fungiert auch als Persistenzmechanismus für die Bedrohung. Shim-Datenbanken sind Teil des Windows Application Compatibility Framework, das von Microsoft entwickelt wurde, damit ältere Windows-Anwendungen optimal auf neueren Windows-Versionen funktionieren.
Nach der Initiierung beginnt die Malware, ihre eigenen Aktivitäten zu protokollieren und sie in eine Datei namens 'log.log' zu schreiben, die entweder in '%WinDir%\System32\MUI' oder '%WinDir%\System32\Sysvols' abgelegt wird, je nach genauem Version der Drohung. PILLOWMINT unterstützt 8 verschiedene Protokollierungsstufen. Auf Stufe 0 findet keine Protokollierung statt, während jede darüber liegende Stufe mehr und mehr Details enthält. Die Stufen 6, 7 und 8 werden nicht verwendet.
Zu den bedrohlichen Fähigkeiten der Malware gehören ein Memory Scraper, der die gewünschten Kreditkartendaten erhält, und ein Prozesslisten-Updater, der alle 6 Sekunden aktiviert wird und die derzeit laufenden Prozesse durchläuft. Ältere PILLOWMINT-Versionen haben auch einen Befehlsthread für den Holdover-Prozess. Diese Funktionalität scheint ein Überbleibsel früherer Inkarnationen der Bedrohung zu sein. Nur zwei Befehle werden erkannt - seine Malware-Prozesse beenden und seinen eigenen Absturz simulieren.
Es sollte beachtet werden, dass PILLOWMINT die gesammelten Daten nicht exfiltriert. Bei dieser Angriffsoperation wird davon ausgegangen, dass der Bedrohungsakteur bereits die volle Kontrolle über die anvisierten Geräte erlangt hat und die Informationen über andere bedrohliche Tools übertragen werden.
