火眼公司和iSight Partner公司在一份报告中详细介绍了名为FIN6的犯罪组织。
火眼公司表示,FIN6出现于2015年,并且仅关注金融信息窃取方面的信息,主要是从零售店和医疗行业窃取信用卡数据。安全研究人员表示该组织仅针对POS系统发动攻击,并且通过两款知名恶意软件家族辅助犯罪活动。所有的FIN6攻击都始于传播Vawtrack和Neverquest的垃圾邮件活动。Grabnew是一款具有窃取功能以及将代码注入具体网页的凭证窃取后门。它会收集受感染计算机和PoS系统的登录凭证,并随后将该信息传播给FIN6。
FIN6随后会通过该信息以及利用Grabnew的功能下载并安装其它恶意软件来传播第二个威胁Trinity。Trinity也是PoS终端的一个恶意软件家族,它会定期从被感染的系统中收集大量信息,并且会把所有的数据都定期压缩为ZIP文件并发送到一个中介主机,随后被中继给FIN6命令和控制服务器。
FIN6随后就会将信息上传到托管在暗网中的“卡商店”中出售。其它犯罪组织就会购买并用于金融诈骗活动中。安全研究人员表示,在一次卡泄露事件中,FIN6设法窃取了2000万信用卡数据,而且通过卡商店出售获得的收益超过4亿美元。