Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database POS Malware PILLOWMINT

PILLOWMINT

Par Mezo en POS Malware
Se traduisent par :
Français

PILLOWMINT est classé comme un malware PoS (Point-of-Sale) conçu pour collecter des données de carte de crédit à partir des appareils compromis. La menace peut obtenir à la fois les données Track et Track 2. La piste 1 comprend le nom du titulaire de la carte, le numéro de compte (PAN), la date d'expiration, l'identifiant bancaire et d'autres détails utilisés par la banque émettrice pour valider les données reçues. La piste 2 contient toutes les mêmes données sans le nom du titulaire de la carte.

Les chercheurs d'Infosec ont attribué la menace PILLOWMINT à l'acteur de menace à motivation financière connu sous le nom de groupe FIN7 (également suivi sous le nom de Carbanak). Les opérations de FIN7 ciblent principalement les secteurs de l'hôtellerie, de la santé et de la restauration.

Détails techniques

PILLOWMINT est livré aux systèmes ciblés via une base de données de shim corrompue. Cette technique agit également comme un mécanisme de persistance de la menace. Les bases de données Shim font partie du cadre de compatibilité des applications Windows, qui a été créé par Microsoft pour permettre aux applications Windows héritées de fonctionner de manière optimale sur les nouvelles versions de Windows.

Une fois lancé, le malware commence à enregistrer sa propre activité et à l'écrire dans un fichier nommé « log.log » qui est déposé dans « %WinDir%\System32\MUI » ou « %WinDir%\System32\Sysvols » selon le version de la menace. PILLOWMINT prend en charge 8 niveaux différents de journalisation. Au niveau 0, aucune journalisation n'a lieu, tandis que chaque niveau progressif au-dessus comprend de plus en plus de détails. Les niveaux 6, 7 et 8 ne sont pas utilisés.

Les capacités menaçantes du malware incluent un grattoir de mémoire qui obtient les détails de la carte de crédit ciblée et un programme de mise à jour de la liste des processus qui s'active toutes les 6 secondes et passe par les processus en cours. Les anciennes versions de PILLOWMINT ont également un thread de commande de processus de maintien. Cette fonctionnalité semble être un vestige des incarnations antérieures de la menace. Seules deux commandes sont reconnues : mettre fin à ses processus malveillants et simuler son propre plantage.

A noter que PILLOWMINT n'exfiltre pas les données récoltées. Dans cette opération d'attaque, il est supposé que l'acteur de la menace a déjà obtenu un contrôle total sur les appareils ciblés et les informations seront transmises via d'autres outils menaçants.

Tendance

Le plus regardé

Chargement...