Verschillende organisaties zijn het doelwit van een phishingaanval geworden waarbij de aanvallers zich voordoen als bekende securitybedrijven en uiteindelijk het personeel vragen om malware te installeren. De aanval begint met een e-mail die van een securitybedrijf afkomstig lijkt en claimt dat het netwerk van de betreffende organisatie is gecompromitteerd.

Het securitybedrijf zou dit tijdens een netwerkaudit hebben ontdekt en hierna de it-afdeling van de organisatie hebben gewaarschuwd. Deze afdeling zou vervolgens hebben gezegd dat het securitybedrijf het probleem direct met de medewerkers moet afhandelen. In de e-mail staat een telefoonnummer dat de ontvanger van de phishingmail moet bellen.

Zodra er wordt gebeld proberen de aanvallers de medewerker software of malware te laten installeren om toegang tot zijn systeem te krijgen en zo het netwerk verder te compromitteren. Dergelijke "callback campaigns", waarbij personeel wordt verleid om zelf de aanvallers te bellen, komen vaker voor. Met de toegang tot het netwerk zal waarschijnlijk worden geprobeerd om ransomware op de werkstations te verspreiden, aldus CrowdStrike, één van de securitybedrijven waarvan de naam bij de phishingaanvallen is gebruikt.