Criminelen zijn erin geslaagd om in te breken op een e-mailaccount van securitybedrijf Any.Run en hebben daarmee vervolgens phishingaanvallen uitgevoerd. Dat laat het bedrijf in een analyse weten. Any.Run biedt een online sandbox-omgeving voor het detecteren en analyseren van malware en wordt door allerlei securityprofessionals gebruikt.

Een salesmedewerker van het securitybedrijf ontving eind mei een e-mail van een klant die gecompromitteerd was. De medewerker controleerde de link in het bericht, maar die wees naar een gecompromitteerde website en werd niet opgemerkt, aldus de analyse. Op deze gecompromitteerde website verscheen een nagemaakt Microsoft-inlogvenster. De werknemer vulde hier zijn gebruikersnaam en wachtwoord in, alsmede multifactorauthenticatie (MFA) code. De aanvaller kreeg zo toegang tot het e-mailaccount van de salesmedewerker.

De aanvaller wist vervolgens zijn eigen telefoon aan de MFA-service van het gecompromitteerde account toe te voegen, om zo toegang tot het account te behouden. Over een periode van 23 dagen werd er herhaaldelijk op het e-mailaccount ingelogd. Daarnaast gebruikte de aanvaller software om een volledige back-up van de mailbox te maken en zo alle e-mails te stelen. Twee weken na het maken van deze back-up stuurde de aanvaller phishingmails naar alle personen die in de contactlijst van de betreffende medewerker stonden.

Naast het stelen van inloggegevens via de phishingaanval had de aanvaller ook business email compromise (BEC) als doel, aldus het securitybedrijf. Hierbij doen criminelen zich bijvoorbeeld voor als leverancier en verzoeken klanten om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij de fraudeurs zich bijvoorbeeld voordoen als directeur.