# Pillowmint > Tipo: **malware** · S0517 · [MITRE ATT&CK](https://attack.mitre.org/software/S0517) ## Descrição [[s0517-pillowmint|Pillowmint]] é um malware de ponto de venda (PoS) utilizado pelo [[g0046-fin7|FIN7]] (Carbanak Group), grupo de crime financeiro cibernético, projetado específicamente para capturar informações de cartão de crédito e débito em sistemas de ponto de venda. O Pillowmint monitora a memória de processos de transação de pagamento em busca de dados de cartão em texto claro - o chamado "RAM scraping" - durante o breve momento em que os dados são descriptografados para processamento. O malware usa técnicas avançadas de evasão: application shimming para persistência sem deixar rastros tradicionais, armazenamento fileless no registro, injeção via Asynchronous Procedure Call (APC), compressão e obfuscação do payload, e limpeza de mecanismos de persistência após o comprometimento ser estabelecido. Esta combinação dificulta tanto a detecção durante a operação quanto a análise forense posterior. O [[g0046-fin7|FIN7]] é responsável por bilhões de dólares em perdas no setor de varejo e hospitalidade global, com campanhas documentadas contra redes de restaurantes, hotéis e varejistas nos Estados Unidos, Europa e Ásia. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1546-011-application-shimming|T1546.011 - Application Shimming]] - [[t1055-004-asynchronous-procedure-call|T1055.004 - Asynchronous Procedure Call]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Detecção - Monitorar application shimming via Shim Database (SDB) para processos PoS ([[t1546-011-application-shimming|T1546.011]]) - Detectar injeção APC em processos de pagamento ([[t1055-004-asynchronous-procedure-call|T1055.004]]) - Alertar para acesso à memória de processos de PDV por processos externos ([[t1005-data-from-local-system|T1005]]) - Implementar segmentação de rede rigorosa para sistemas PoS e monitoramento de integridade de firmware dos terminais ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] e malware PoS similar representam uma ameaça direta e de alta relevância para o Brasil - um dos maiores mercados de cartões de pagamento do mundo, com volume massivo de transações em varejo, restaurantes e hotelaria. O Brasil tem histórico de incidentes de fraude em PoS e skimming de cartão, com grupos de cibercrime locais e internacionais ativos neste ecossistema. Operadores de sistemas PoS devem priorizar segmentação de rede, monitoramento de integridade de sistema e compliance com PCI-DSS como defesas fundamentais. ## Referências - [MITRE ATT&CK - S0517](https://attack.mitre.org/software/S0517)