Een grote Amerikaanse online loonadministrateur is vorige week gehackt, waarbij aanvallers de gestolen informatie gebruikten om klanten met malware te infecteren. PayChoice heeft 125.000 organisaties als klant en biedt daarnaast ook loonadministratie software aan 240 andere betalingsverwerkers aan. Vorige week woensdag ontvingen PayChoice klanten een e-mail die waarschuwde dat ze een plugin voor hun browser moesten downloaden om de online portal te kunnen blijven gebruiken. In werkelijkheid ging het om malware die gebruikersnamen en wachtwoorden onderschept.
Zeus
In tegenstelling tot standaard phishing e-mails, waren deze e-mails voorzien van naam, gebruikersnaam en een deel van het wachtwoord dat de ontvanger op de online portal gebruikte. De e-mail linkte naar een kwaadaardige website die de malware aanbood of via een drive-by download het systeem probeerde te infecteren. Het ging in dit geval om IE, Adobe Flash en Adobe Reader exploits.
Naar eigen zeggen ontdekte PayChoice op 23 september dat de online systemen gehackt waren. Direct werd de website offline gehaald en zou het klanten geadviseerd hebben om hun wachtwoorden te wijzigen. Eenmaal succesvol geinfecteerd, werd Trojan downloader Bredolab op het systeem geïnstalleerd. Deze malware downloadt aanvullende malware, in dit geval de Zeus trojan, en probeert aanwezige beveiligingssoftware uit te schakelen. Hoeveel klanten slachtoffer zijn geworden is nog onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.