Meer dan zeshonderd bedrijven zijn slachtoffer geworden van phishingaanvallen waarbij aanvallers vpn-gegevens van personeel proberen te stelen en slachtoffers remote monitoring and management (RMM) software laten installeren, zo meldt securitybedrijf Prodaft. De aanvallers zouden voor de aanvallen zeventig domeinen hebben geregistreerd die op die van bekende vpn-leveranciers lijken.

De aanval begint met social engineering, waarbij medewerkers van bedrijven door de aanvallers worden gebeld. De aanvallers doen zich voor als de it-afdeling of helpdesk van het bedrijf en stellen dat er een probleem met de vpn-login is. Slachtoffers worden vervolgens naar een phishingsite geleid die op de vpn-site van het bedrijf lijkt. Daarbij wordt in de phishing-url de naam van het bedrijf genoemd. Wanneer de aanvallers via de phishingsite de benodigde vpn-gegevens hebben bemachtigd wordt het slachtoffer naar de echte vpn-site van het bedrijf doorgestuurd.

Naast vpn-gegevens proberen de aanvallers op een soortgelijke manier ook e-mailadressen, gebruikersnamen en wachtwoorden van Microsoft-accounts te stelen. Hiervoor versturen de aanvallers malafide Microsoft Teams-links. Tijdens de telefoongesprekken met doelwitten komt het ook voor dat die worden verleid om RMM-software te installeren, zoals AnyDesk of TeamViewer.

Zodra de aanvallers via deze software toegang tot het systeem van de medewerker hebben installeren ze infostealer-malware om inloggegevens en cryptowallets te stelen. Als laatste rollen de aanvallers ransomware uit. Volgens Prodaft hebben de aanvallers sinds juni vorig jaar 618 organisaties gecompromitteerd. Het securitybedrijf stelt dat aanvallers continu hun technieken aanpassen om menselijke en technische kwetsbaarheden te misbruiken.