해당 악성코드는 전세계를 대상으로 관제 중인 하우리 취약점 공격 사전차단 솔루션인 ‘APT 쉴드(Shield)’ 관제를 통해 일본에서 최초 발견됐으며 다수의 일본 웹사이트를 통해 어도비 플래시 플레이어 취약점(CVE-2014-0515)을 이용해 유포됐다.
악성코드에 감염되면 일본 인터넷 뱅킹 사이트 접속 시 사용자가 입력한 아이디 및 패스워드 등 계정 정보가 해커에게 전송되며 추가로 원격제어 악성코드가 다운로드돼 해커에 의해 PC가 악의적인 목적으로 조종될 수 있다.
해당 조직은 자신들이 개발한 기본적인 악성코드 프레임워크를 사용하는 데, 이번에도 동일한 프레임워크가 사용됐다.
기존에 해당 조직은 2011년 6월경부터 국내를 대상으로 주로 온라인 게임 계정 탈취 및 언론사, 포털 등 40여개 이상의 기업을 대상으로 관리자 계정 탈취를 노리는 악성코드를 유포한 바 있다. 작년부터는 인터넷 뱅킹 파밍 기능을 추가하고 비트코인 등 가상화폐 거래사이트의 계정 정보 탈취 및 직접적인 마이닝(채굴)을 통해 금전적인 수익을 올리려 시도했다.
|