파이어아이 연구원들은 Locky랜섬웨어가 매크로나 바이너리 기반 다운로더 대신 자바스크립트 다운로더를 사용한다고 밝혔다.
 
공격자는 악성 zip, rar 파일을 인보이스나 협력회사 문서, 세금 정보 같은 파일로 위장하여 악성 다운로더를 살포하고 있다.
 
InfoArmor의 Andrew Komarov에 따르면 새로운 다운로더는 공격자들이 악성 코드를 .zip이나 .rar파일에 여러번 암호화 하여 넣을 수 있도록 "더 간결한" 스크립트 코딩으로 쓰여졌다. 또한 이 악성코드는 난독화를 통해 안티-스팸 필터와 안티-바이러스 제품을 우회한다. 이전 다운로더는 대부분의 사용자들이 매크로를 막도록 설정해두기 때문에 효율적이지 못했지만 새로운 다운로더는 스크립트 언어를 기반으로 하고 자바스크립트 내에 난독화되어 있어 탐지하기가 어렵다.
 
Locky 악성코드의 제작자들이 악성 다운로더를 직접 만들지 않고 다른 곳에서 얻었다. 악성 다운로더를 1달러에서 25달러 사이에서 구매 가능해 그들은 랜섬웨어를 값싸게 퍼트릴 수 있었다.
 
4월 22일 블로그에 포스팅된 내용에 따르면 파이어아이 연구자들은 커스텀 네트워크 통신 프로토콜을 사용하여 Locky랜섬웨어를 다운로드하는 새로운 다운로더를 탐지했다. 그들은 이 다운로더가 다른 악성코드를 설치하거나 "설치마다 지불"하는 악성코드 배포를 위한 새로운 플랫폼일 수 있다고 알려왔다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>