セキュリティ専門家は、2014年12月、新しい POSマルウェアを確認したと報告しました。このPOSマルウェアは、ロシアのアンダーグランドのフォーラムでの呼称から「LusyPOS」と名付けられ、トレンドマイクロの製品では、「TSPY_POSLUSY.A」として検出される不正プログラムです。セキュリティ専門家はその解析において、「LusyPOS」は「Dexter」ファミリに関連するいくつかの特徴を備えているが、その挙動から「ChewBacca」ファミリ(「TSPY_FYSNA.A」として検出)とも関連していると述べています。「ChewBacca」は、匿名通信システム「The Onion Router(Tor)」を利用してコマンド&コントロール(C&C)サーバに接続することで知られています。
しかし弊社は、「LusyPOS」は Torを利用するものの、「ChewBacca」より「Dexter」と明らかな関連性があると考えています。「Dexter」と「ChewBacca」は、コード内で利用されるテキスト文字列に明確な違いがあります。例えば、「Dexter」のコード内に利用されている変数名のいくつかは「ChewBacca」には確認されていません。「Dexter」は、長期に渡って不正活動をしている最も有名な POSマルウェアの 1つです。弊社は、ユーザを保護するために、この脅威の動向を注意深く監視しています。
これまでに確認された POSマルウェアを解析した弊社のリサーチペーパー「PoS RAM scraper malware: Past, Present, and Future(英語情報)」では、これらの POSマルウェアの種類や手法を取り上げています。「LusyPOS」で見られるいくつかの文字列は、「Dexter」でも確認できます。例えば、以下の文字列は、「Dexter」で利用される HTTP POST の変数として知られています。
- page
- ump
- ks
- opt
- unm
- cnm
- view
- spec
- query
- val
- var
- nbsp
同様に、以下のコマンドも「Dexter」が処理することで知られています。
- Download(ファイルのダウンロードおよび実行)
- Update(コピーの更新)
- Checkin(不正プログラムの情報送信の遅延を設定)
- Scanin(不正プログラムが情報のメモリを確認する遅延を設定)
- Uninstall(自身のアンインストール)
リサーチペーパーでは「ChewBacca」が利用する文字列も取り上げていますが、「LusyPOS」を解析した結果、「ChewBacca」が利用する文字列は存在していないことが確認されています。
こうした情報から、この新しいPOSマルウェア「LusyPOS」は、「ChewBacca」よりも「Dexter」と関連性が近いことを示唆しています。つまり、「LusyPOS」は、「ChewBacca」の Tor 利用を模倣した「Dexter」の新しい亜種だと考えることができます。「Dexter」がもたらした脅威を考えると、これまでの POSマルウェアに大きな脅威が追加されたことになります。特に年末にかけての休暇シーズンには、こうした機能を備えた POSマルウェアの登場は、サイバー犯罪者に歓迎されることでしょう。
この POSマルウェアを確認したセキュリティ専門家は、POSシステムが Torのネットワークに接続することは、きわめてまれだと言及しており、確かにそのとおりでしょう。適切なファイアウォールやその他のネットワークソリューションを導入することによって、POSマルウェアが確認された際に、その不正活動を検知し、阻止することができます。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)