웹사이트에 악성코드를 숨겨 놓고 방문자를 감염시키는 이른바 워터링홀(Watering Hole) 기법이 이용되어, 호기심 혹은 정보 수집을 목적으로 북한 뉴스 사이트를 방문한 사용자들이 공격에 노출되었을 것으로 보인다.
PE_WINDEX.A-O로 명명된 이 악성코드는 Ws2_32.dll 파일을 복사해 이름을 변경하고, SP{random}.tmp 파일을 생성해 컴퓨터 이름, 사용자 이름, OS 정보, MAC 주소 등의 데이터를 수집하는 것으로 나타났다. 또한 메모리에 상주해 악성코드와 백도어 루틴이 들어 있는 wtime32.dll 파일을 다운로드하며, 시스템을 재부팅하면 explore.exe는 A-Z까지 모든 드라이브에 들어 있는 .exe 파일을 감염시킨다.
또한 분석 결과, 이 악성코드는 마이크로소프트사의 개발자 서명을 갖고 있는 것으로 확인됐다. 따라서 저작권 표시(All Rights Reserved)에 Microsoft Corporation이라고 표시된다. 설명과 코멘트에는 Windows Defender Extension이라는 문구가 들어있는데 이는 사용자가 이 파일에 대해 의심하지 못하게 하기 위함이다.
전세계 위협 정보가 실시간으로 업데이트되는 트렌드마이크로의 클라우드 보안센터에 따르면 악성코드 PE_WINDEX.A-O의 감염률은 2014년 10월부터 12월까지 지속적으로 증가한 것으로 나타났다.
저작권자 © 아이티비즈 무단전재 및 재배포 금지