해당 쓰레드에 따르면 광고는 합법적인 앱처럼 보이게 고안된 HTML 애플리케이션을 다운로드하게 했다. 이 앱을 열면 악의적인 페이로드가 다운로드되어 사용자의 컴퓨터가 잠기고 파일들이 암호화된다.
지난 며칠 동안 많은 사용자가 스카이프의 인-앱 광고와 유사한 문제에 대해서 토로했으며, 적어도 두 명의 다른 사람이 같은 악성 플래쉬 광고를 본 것으로 보인다. 이것이 악의적인 것이라는 것을 아는 사용자는 앱을 실행하는 대신 분석해 코드를 게시했다.
가짜 플래쉬 광고는 윈도우 머신을 타깃으로 설계되었고, 다운로드 후 열게되면 악성 자바스크립트가 실행된다. 이 코드는 새로운 명령라인을 시작하고, 사용자가 열었던 어플래케이션을 삭제하고 파웨쉘 명령을 실행한다. 파워쉘 명령은 JES(JavaScript Encoded Script)를 다운로드한다. 그리고 이 모든 단계는 차례대로 안티바이러스 백신에 의해 멀웨어가 탐지되는 것을 방지한다.
Phobos Group 공동설립자인 Ali-Reza Anghaie는 “이것은 일반적으로 2단계 드로퍼로 불리는 것으로, 사실상 악성코드의 유틸리티 구성요소이며, 연결된 C&C를 기반으로 행동을 결정한다”고 설명했다.
그러나 JSE가 다운로드되는 도메인이 현재는 사라져서 정확하게 어떤 동작을 하는지는 파악할 수 없다. 이에 대해 Anghaie는 “이런 경우 랜섬웨어일 확률이 99%다”라고 덧붙였다.
이와 유사한 멀웨어 샘플이 위협정보공유 사이트IBM의 X-Force에 업로드 되기도 했다. 페이로드가 다른 일회용 도메인에서 다운로드 되긴 했지만 멀웨어는 이 공격에 사용된 웹주소 패턴과 일치한 것으로 나타났다.
한편 가짜 플래쉬 광고의 모든 신호들이 최근 Kovter트로얀을 전달하는 Locky랜섬웨어의 변형임을 보여주고 있다. 작년에 가장 유명한 악성코드 중 하나였던 Locky 랜섬웨어는 JavaScript기반 공격을 사용하여 다른 응용프로그램의 도움없이 윈도우에서 직접 실행되어 컴퓨터를 잠글 수 있다.
마이크로소프트 측은 스카이프의 악성광고 공격에 대해 “사회공학적 공격”이라고 설명하며“우리는 해당 공격이 일부 고객을 악의적인 웹사이트로 안내하는데 사용되는 사회공학 기법을 사용한 것으로 알고 있다. 알려지지 않은 소스와 첨부파일, 링크를 열 때는 주의를 기울이고 바이러스 백신 소프트웨어을 설치 및 정기적 업데이트를 해야 한다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★