PILLOWMINT

PILLOWMINTは、侵害されたデバイスからクレジットカードデータを収集するように設計されたPoS（Point-of-Sale）マルウェアとして分類されます。脅威は、トラックとトラック2の両方のデータを取得できます。トラック1は、カード所有者名、口座番号（PAN）、有効期限、銀行ID、および受信したデータを検証するために発行銀行が使用するその他の詳細で構成されます。トラック2には、カード所有者名なしで同じデータがすべて含まれています。

Infosecの研究者は、PILLOWMINTの脅威は、FIN7グループ（Carbanakとしても追跡されている）として知られている金銭的に動機付けられた脅威アクターに起因すると考えています。 FIN7の事業は、主にホスピタリティ、健康、レストランの各セクターを対象としています。

技術的な詳細

PILLOWMINTは、破損したシムデータベースを介してターゲットシステムに配信されます。この手法は、脅威の永続化メカニズムとしても機能します。 Shimデータベースは、Microsoftによって作成されたWindowsアプリケーション互換性フレームワークの一部であり、レガシーWindowsアプリケーションが新しいWindowsバージョンで最適に動作できるようにします。

マルウェアが開始されると、マルウェアは自身のアクティビティのログを記録し、「log.log」という名前のファイルに書き込みを開始します。このファイルは、正確に応じて「％WinDir％\ System32 \ MUI」または「％WinDir％\ System32 \ Sysvols」のいずれかにドロップされます。脅威のバージョン。 PILLOWMINTは、8つの異なるレベルのロギングをサポートします。レベル0では、ロギングは行われませんが、それより上の各プログレッシブレベルには、ますます多くの詳細が含まれます。レベル6、7、および8は使用されません。

マルウェアの脅威となる機能には、対象のクレジットカードの詳細を取得するメモリスクレーパーと、6秒ごとにアクティブ化され、現在実行中のプロセスを実行するプロセスリストアップデーターが含まれます。古いPILLOWMINTバージョンにも、ホールドオーバープロセスコマンドスレッドがあります。この機能は、脅威の初期の化身からの残骸であるように見えます。認識されるコマンドは2つだけです。マルウェアプロセスを終了し、自身のクラッシュをシミュレートします。

PILLOWMINTは収集されたデータを盗み出さないことに注意してください。この攻撃操作では、攻撃者が標的のデバイスを完全に制御していることを前提としており、情報は他の脅威ツールを介して送信されます。