LusyPOS是一款針對零售商POS機的新型惡意軟件，目前以2000美元的售價開始在地下市場販賣。在55種反病毒引擎中，有30種檢測LusyPOS為惡意軟件(檢測報告)。

愈演愈烈的POS機網絡犯罪

自2013年來，我們發(fā)現來自POS惡意軟件的威脅急劇性的增長。這次增長類似于其他市場的變化規(guī)律-因為零售網絡中存留了大量的金融數據。攻擊者正在調整槍口，集結力量，向要害部位發(fā)起攻擊。

結合最新技術的新型POS機惡意軟件

安全研究人員稱LusyPOS是一個新型的惡意軟件，比以往此類型惡意軟件在體積上都要大。逆向工程師Nick Hoffman和Jeremy Humble認為LusyPOS結合了Dexter的特性和Chewbacca的技術。

Dexter：首次披露是在2012年12月，它被認為是由一個名為“dice”的開發(fā)者開發(fā)出來的。而這個工具的實際使用卻跟一個名為“Rome0”的個體有關。該惡意軟件遍歷正在運行的進程，訪問內存來搜索支付卡數據，然后通過HTTP傳送數據。

ChewBacca：首此被公布是在2013年11月。該惡意軟件枚舉正在運行的進程，并通過兩個正則表達式從內存重提取支付卡信息。ChewBacca通過Tor匿名網絡傳送數據。

使用Tor網絡隱蔽自己

與Chewbacca很像的是，LusyPOS利用了Tor網絡來隱藏與遠端服務器的連接。在此前，Chewbacca成功的感染了45家零售商的119臺PoS終端，并進而導致超過50000張信用卡受到了影響。(相關報道鏈接)

同時LusyPOS可以偷取系統(tǒng)進程列表，并操作注冊表對機器進行長時間的感染，這種特性與2012年的Dexter十分相像(相關鏈接)。

圖片來自：virustotal的在線報告

安全研究人員認為可以通過另一種手段對LusyPOS進行檢測：“POS設備不應該直接接入互聯網，這樣惡意軟件會通過Tor進行連接。使用基于主機的IDS檢測系統(tǒng)，一旦惡意軟件將Tor或其他文件寫入系統(tǒng)時，IDS會檢測的到。”

安全建議

隨著惡意軟件的技術日益復雜，零售商不能依靠單一的反病毒軟件對他們的網絡進行防御：為了降低新型惡意軟件家族的對POS機的安全威脅，商家因該監(jiān)視POS機系統(tǒng)上的變化，比如信用卡號被寫入文件或是將文件傳送到互聯網上。