Een groep aanvallers is tenminste sinds vorig jaar bezig met het inbreken op de e-mailaccounts van organisaties en bedrijven om zo niet-publieke informatie over aandelen en vertrouwelijke marktgegevens te stelen. Het gaat met name om ondernemingen in de farmaceutische industrie en gezondheidssector.
Dat meldt het Amerikaanse beveiligingsbedrijf FireEye (PDF). De groep gebruikt spear phishingmails om de inloggegevens van e-mailaccounts te stelen en infecteert systemen niet met malware. De documenten zijn van Visual Basic for Applications (VBA) macro's voorzien, die bij het openen een inlogvenster laten zien dat op het Windows Authenticatievenster lijkt. De ingevulde gegevens worden vervolgens naar de aanvallers gestuurd. In de gekraakte e-mailaccounts wordt naar waardevolle informatie gezocht.
Ook gebruiken de aanvallers deze accounts voor het versturen van nieuwe phishingmails. Daarnaast worden er in de accounts filters aangemaakt om automatisch e-mails met bepaalde woorden te verwijderen, zoals "hacked", "phish" en "malware". Volgens de onderzoekers gebruiken de aanvallers deze filters waarschijnlijk om detectie te voorkomen, doordat de e-mails waarin de slachtoffers worden gewaarschuwd automatisch verdwijnen.
In totaal zouden meer dan 100 organisaties zijn aangevallen. Naast bedrijven in de farmaceutische industrie en gezondheidssector gaat het ook om partijen die zich met aandelen en overnames bezighouden, zoals advocatenbureaus en investeringsbanken. De groep richt zich daarbij specifiek op de e-mailaccounts van bestuurders, juridische adviseurs, risk en compliance personeel en andere individuen die marktgevoelige informatie bespreken.
Volgens FireEye kennen de aanvallers hun doelen en lijkt het erop dat de spear phishingmails door Engelstalige sprekers zijn geschreven, die zowel bekend zijn met investeringsterminologie en de werking van bedrijven met een beursnotering. "De relatieve eenvoud van de aanvallen maakt het lastig om de activiteiten van de aanvallers te detecteren. Een aantal basismaatregelen kan echter helpen", aldus de onderzoekers. Het gaat dan om het blokkeren van VBA-macro's en het blokkeren van de domeinen die de aanvallers gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.