RSAセキュリティは、月例のセキュリティニュース「AFCC NEWS」の記事において、POSシステムに格納されたクレジットカード情報を丸ごと盗み出す新型マルウェア「LusyPOS」の実態を明かした。

LusyPOSの主な特徴は以下の通り。

  • クレジットカードの磁気ストライプの「トラック1/トラック2」データを狙う

  • WindowsベースのPOSシステム上で動作する

  • TORネットワークに対応した、TOR HTTP管理者パネル

  • クレジットカード番号の有効性検証機能

  • 複数ユーザー対応

また、LusyPOSは、初心者向けとプロ(dump grabber型マルウェア経験者)向けの2種類がある。

初心者向けは、初期セットアップのサポート、管理者パネルとアプリケーションなどの機能が設定済み、すべての手順をカバーする入門チュートリアルが付属するなど、マルウェアへの詳しい知識がなくても使えるようになっている。

一方のプロ向けは、再ビルドが無料・自由、Jabberチャットによる無制限のサポートを提供する。バイナリーライセンスは、標的の端末1台あたり2000ドル、実行犯の端末1台あたり2200台となる。

LusyPOSのアクティベーションと解凍についても触れている。LusyPOSは、暗号化された状態で実行形態に圧縮されており、そのファイルサイズは3934.0KBになるという。アクティベーションを行うと、アプリケーションがデスクトップ上に解凍され、以下のファイルが作られる。

  • zlib1.dll - データ圧縮アプリケーションライブラリ

  • mbambservice.exe - マルウェア対策アプリケーションを装っているが実態はTOR.exe

  • libcurl - クライアント側のURL転送ライブラリ

  • verifone32.exe - POSシステムファイルを装ったLusyPOSアプリケーション

解凍後、MUTEX Prowin32Mutexを生成し、Internet Explorerのプロセスレコードを感染することで、TORアプリケーションであるmbamservice.exeが起動し、TOR通信を始める。

活動を始めると、システムのデスクトップにファイルのコピーが追加される。それらのファイルは、システムのより深い部分にコピーされた後、すべて削除される。

アプリケーションのインストール活動を秘匿するために、Windowsインストールファイルの警告メッセージを無効化するようにレジストリが書き換えられる。EXE、BAT、REG、VBSといった拡張子を持つファイルが関わるすべての活動は無視され、ポップアップメッセージなどは表示されなくなる。