LusyPOS是一款針對零售商pos機(jī)的新型惡意軟件，目前以2000美元的售價開始在地下市場販賣。在55種反病毒引擎中，有30種檢測LusyPOS為惡意軟件（檢測報告）。
 

愈演愈烈的POS機(jī)網(wǎng)絡(luò)犯罪

自2013年來，我們發(fā)現(xiàn)來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規(guī)律-因為零售網(wǎng)絡(luò)中存留了大量的金融數(shù)據(jù)。攻擊者正在調(diào)整槍口，集結(jié)力量，向要害部位發(fā)起攻擊。

結(jié)合最新技術(shù)的新型POS機(jī)惡意軟件

安全研究人員稱LusyPOS是一個新型的惡意軟件，比以往此類型惡意軟件在體積上都要大。逆向工程師Nick Hoffman和Jeremy Humble認(rèn)為LusyPOS結(jié)合了Dexter的特性和Chewbacca的技術(shù)。

Dexter：首次披露是在2012年12月，它被認(rèn)為是由一個名為“dice”的開發(fā)者開發(fā)出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關(guān)。該惡意軟件遍歷正在運(yùn)行的進(jìn)程，訪問內(nèi)存來搜索支付卡數(shù)據(jù)，然后通過HTTP傳送數(shù)據(jù)。
ChewBacca：首此被公布是在2013年11月。該惡意軟件枚舉正在運(yùn)行的進(jìn)程，并通過兩個正則表達(dá)式從內(nèi)存重提取支付卡信息。ChewBacca通過Tor匿名網(wǎng)絡(luò)傳送數(shù)據(jù)。

使用Tor網(wǎng)絡(luò)隱蔽自己

與Chewbacca很像的是，LusyPOS利用了Tor網(wǎng)絡(luò)來隱藏與遠(yuǎn)端服務(wù)器的連接。在此前，Chewbacca成功的感染了45家零售商的119臺PoS終端，并進(jìn)而導(dǎo)致超過50000張信用卡受到了影響。（相關(guān)報道鏈接）

同時LusyPOS可以偷取系統(tǒng)進(jìn)程列表，并操作注冊表對機(jī)器進(jìn)行長時間的感染，這種特性與2012年的Dexter十分相像（相關(guān)鏈接）。

圖片來自：virustotal的在線報告

安全研究人員認(rèn)為可以通過另一種手段對LusyPOS進(jìn)行檢測：“POS設(shè)備不應(yīng)該直接接入互聯(lián)網(wǎng)，這樣惡意軟件會通過Tor進(jìn)行連接。使用基于主機(jī)的IDS檢測系統(tǒng)，一旦惡意軟件將Tor或其他文件寫入系統(tǒng)時，IDS會檢測的到。”

安全建議

隨著惡意軟件的技術(shù)日益復(fù)雜，零售商不能依靠單一的反病毒軟件對他們的網(wǎng)絡(luò)進(jìn)行防御：為了降低新型惡意軟件家族的對POS機(jī)的安全威脅，商家因該監(jiān)視POS機(jī)系統(tǒng)上的變化，比如信用卡號被寫入文件或是將文件傳送到互聯(lián)網(wǎng)上。