공격자는 먼저 특정 웹사이트의 광고서버 취약점을 악용해 관리자 권한을 획득하고, 사이트 내 광고에 악성 스크립트(실행 코드)를 삽입했다.
사용자가 해당 웹사이트에 접속하면 광고에 삽입된 악성 스크립트가 자동으로 동작, 악성코드 유포 도구인 ‘그린플래시 선다운 익스플로잇 킷’을 실행한다. 이 도구는 사용자 PC의 어도비 플래시플레이어 버전을 확인해 구버전일 경우에만 동작해 취약점을 이용, 랜섬웨어에 감염시킨다.
이 랜섬웨어에 감염되면 사용자 파일이 암호화되며 파일 확장자가 ‘.FIXT’로 바뀐다. 이후 비트코인 등 암호화폐를 해제 대가로 요구한다.
박태환 안랩 ASEC대응팀장은 “이번 랜섬웨어는 향후 이력서나 정상 설치 파일로 위장하는 등 다양한 방법으로 계속 유포될 수 있어 사용자의 주의가 필요하다”고 말했다.