윰바 웹인젝트는 뱅킹 사용자들을 쉽게 속이기 위해 특정 금융기관 웹사이트의 모양과 느낌에 맞게 커스터마이징 되며, 제3자 계정에 피해자의 자금이 입금되도록 설계된 악성 자동 전송 시스템(ATSEngine)과 함께 작동된다.

윰바 웹인젝트를 사용해 웹 화면에 동적 콘텐츠를 삽입하면, 고객이 온라인 뱅킹 서비스를 이용할 때 사용자 페이지에서 개인 정보를 가져와 즉각적이며 자동적으로 계좌에서 돈을 빼낼 수 있다.

그동안 악성코드 생성에는 제우스 크라임웨어(Zeus Crimeware)라는 툴킷이 자주 사용됐다. 이 툴킷은 은행 자격 증명 해킹, 디도스 공격에 대한 봇넷 구축, PaaS 및 SaaS 인프라 공격과 같은 사이버 범죄 유형에서 호스트(좀비)를 제어하는데 사용돼 왔다.

그러나 윰바 사용자 정의 웹인젝트에 추가된 기능은 제우스 크라임웨어보다 훨씬 위험한 악성코드를 생성한다. 웹인젝트 공격은 계좌 및 권한 정보 도용과 같은 간단한 공격부터 공격자 제어 계정에 자동 송금 기능을 걸어놓는 ATS엔진(ATSEngine) 사용 공격까지 방법이 다양하다.

스튜어드 스콜리(Stuart Scholly) 아카마이 보안사업부 수석 부사장은 “아카마이 프로렉스 보안 공학 및 대응팀은 활성화된 웹인젝트가 접근 가능한 금융기관이 100개가 넘는다는 것을 확인했다. 대부분 북미와 유럽의 중대형 금융기관들이다”라며, “이러한 공격을 예방하기에는 사용자 교육, 향상된 보안 및 시스템 강화를 비롯해 국제 협력 및 지역 사회 차원의 정리가 필요하다”고 말했다.

한편, 아카마이는 프로렉스 보안 공학 및 대응팀(PLXsert)은 언더그라운드 크라임웨어 시스템이 수많은 인터넷 이용 장치를 이용해 윰바 웹인젝트와 같은 더 강력하고 새로운 도구를 계속해서 만들어낼 것이라고 예측했다.