최근 하우리 인텔리전스 위협 탐지 시스템(Radar)에 의해 발견된 악성코드는 국내에 등장한 헤르메스 랜섬웨어와 함께 유포됐다. 최신 플래시 취약점 등을 이용해 선다운(Sundown) 익스플로잇 킷을 통해 퍼졌다.
이 악성코드는 웹 서핑 도중 사용자 모르게 은밀히 감염시켜 사용자들이 인지하기 어렵다. 웹을 통해 최초 감염된 악성코드는 윈도우 탐색기(explore.exe)에 특정 코드를 삽입해 동작시킨다.
악성코드는 지속적으로 PC에 상주하며 4개 웹 브라우저(인터넷 익스플로러, 크롬, 파이어폭스, 오페라)의 입력 데이터를 가로채고 웹 사이트에 접속하는 계정정보들을 식별해 로그로 남기고 탈취한다.
최상명 하우리 CERT 실장은 “랜섬웨어를 유포하는 조직이 함께 유포하는 악성코드로 금전적인 이득을 목표로 하는 것으로 추정된다”며 "가상화폐 거래소 등 다양한 웹사이트의 계정정보가 탈취돼 2차 피해를 유발할 수 있다”고 밝혔다.