출처 : https://www.joongang.co.kr/article/25155373#home

수신자가 보낸 이메일에 대한 답장 또는 전달한 이메일인 것처럼 속여 악성 코드를 유포하는 사례가 잇따라 발견되고 있다.

   16일 안랩에 따르면 악성 코드인 칵봇(Qakbot)이 ‘이메일 하이재킹’ 수법을 통해 국내 사용자에게 유포되고 있는 것으로 나타났다. 칵봇은 은행 자격 증명과 윈도 도메인 자격 증명을 훔치고, 랜섬웨어를 설치하는 등 공격자들에게 원격 접속을 제공하는 악성 코드다.

   이번에 발견된 칵봇 유포 수법은 기존에 수신된 정상 이메일을 가로채 본문에 악성 PDF 파일을 첨부한 후 사용자에게 회신하거나 전달하는 방식이다.

   공격 대상은 원본 이메일의 수신자와 참조자다. 안랩에 따르면 회신 또는 전달된 이메일의 본문 내용은 이전 이메일의 내용과 연관성이 떨어지지만, 수신자는 첨부된 PDF 파일을 무의식중에 열어보게 되는 것으로 파악됐다.