RSAセキュリティは、月例のセキュリティニュース「AFCC NEWS」の記事において、POSシステムに格納されたクレジットカード情報を丸ごと盗み出す新型マルウェア「LusyPOS」の実態を明かした。
LusyPOSの主な特徴は以下の通り。
クレジットカードの磁気ストライプの「トラック1/トラック2」データを狙う
WindowsベースのPOSシステム上で動作する
TORネットワークに対応した、TOR HTTP管理者パネル
クレジットカード番号の有効性検証機能
複数ユーザー対応
また、LusyPOSは、初心者向けとプロ(dump grabber型マルウェア経験者)向けの2種類がある。
初心者向けは、初期セットアップのサポート、管理者パネルとアプリケーションなどの機能が設定済み、すべての手順をカバーする入門チュートリアルが付属するなど、マルウェアへの詳しい知識がなくても使えるようになっている。
一方のプロ向けは、再ビルドが無料・自由、Jabberチャットによる無制限のサポートを提供する。バイナリーライセンスは、標的の端末1台あたり2000ドル、実行犯の端末1台あたり2200台となる。
LusyPOSのアクティベーションと解凍についても触れている。LusyPOSは、暗号化された状態で実行形態に圧縮されており、そのファイルサイズは3934.0KBになるという。アクティベーションを行うと、アプリケーションがデスクトップ上に解凍され、以下のファイルが作られる。
zlib1.dll - データ圧縮アプリケーションライブラリ
mbambservice.exe - マルウェア対策アプリケーションを装っているが実態はTOR.exe
libcurl - クライアント側のURL転送ライブラリ
verifone32.exe - POSシステムファイルを装ったLusyPOSアプリケーション
解凍後、MUTEX Prowin32Mutexを生成し、Internet Explorerのプロセスレコードを感染することで、TORアプリケーションであるmbamservice.exeが起動し、TOR通信を始める。
活動を始めると、システムのデスクトップにファイルのコピーが追加される。それらのファイルは、システムのより深い部分にコピーされた後、すべて削除される。
アプリケーションのインストール活動を秘匿するために、Windowsインストールファイルの警告メッセージを無効化するようにレジストリが書き換えられる。EXE、BAT、REG、VBSといった拡張子を持つファイルが関わるすべての活動は無視され、ポップアップメッセージなどは表示されなくなる。
