PILLOWMINT
PILLOWMINT está clasificado como un malware de punto de venta (PoS) que está diseñado para recopilar datos de tarjetas de crédito de los dispositivos comprometidos. La amenaza puede obtener datos de Track y Track 2. La pista 1 consta del nombre del titular de la tarjeta, el número de cuenta (PAN), la fecha de vencimiento, la identificación bancaria y otros detalles utilizados por el banco emisor para validar los datos recibidos. La pista 2 contiene todos los mismos datos, pero sin el nombre del titular de la tarjeta.
Los investigadores de Infosec han atribuido la amenaza PILLOWMINT al actor de amenazas con motivaciones financieras conocido como el grupo FIN7 (también rastreado como Carbanak). Las operaciones de FIN7 están dirigidas principalmente a los sectores de la hostelería, la salud y la restauración.
Detalles técnicos
PILLOWMINT se entrega a los sistemas de destino a través de una base de datos de calzas dañada. Esta técnica también actúa como un mecanismo de persistencia de la amenaza. Las bases de datos de Shim son parte del marco de compatibilidad de aplicaciones de Windows, que fue creado por Microsoft para permitir que las aplicaciones heredadas de Windows funcionen de manera óptima en las versiones más recientes de Windows.
Una vez iniciado, el malware comienza a registrar su propia actividad y a escribirla en un archivo llamado 'log.log' que se coloca en '% WinDir% \ System32 \ MUI' o '% WinDir% \ System32 \ Sysvols' dependiendo de la exacta versión de la amenaza. PILLOWMINT admite 8 niveles diferentes de registro. En el nivel 0 no se realiza ningún registro, mientras que cada nivel progresivo por encima de él incluye más y más detalles. Los niveles 6, 7 y 8 no se utilizan.
Las capacidades amenazantes del malware incluyen un raspador de memoria que obtiene los detalles de la tarjeta de crédito objetivo y un actualizador de la lista de procesos que se activa cada 6 segundos y pasa por los procesos que se están ejecutando actualmente. Las versiones anteriores de PILLOWMINT también tienen un subproceso de comando de proceso remanente. Esta funcionalidad parece ser un remanente de encarnaciones anteriores de la amenaza. Solo se reconocen dos comandos: finalizar sus procesos de malware y simular su propio bloqueo.
Cabe señalar que PILLOWMINT no filtra los datos recolectados. En esta operación de ataque, se supone que el actor de la amenaza ya ha logrado el control total sobre los dispositivos objetivo y la información se transmitirá a través de otras herramientas amenazantes.
