Een variant van de beruchte Zeus Trojan steelt inloggegevens voor een online salarisadministratiesysteem, waardoor aanvallers fictieve werknemers aan loonlijsten kunnen toevoegen. Daarvoor waarschuwt beveiligingsbedrijf Trusteer. De aanval is gericht tegen gebruikers van Ceridian. Een Canadese betalingsverwerker die bedrijven in de cloud hun salarisadministratie laat regelen. Zodra de gebruiker vanaf een besmette machine inlogt, wordt er een screenshot gemaakt.

Katvangers
Hierdoor kan de malware de gebruikersnaam, wachtwoord, bedrijfsnummer en afbeelding stelen die voor het afbeelding-gebaseerde authenticatiesysteem wordt gebruikt. Vervolgens loggen de aanvallers op het account van het bedrijf in en voegen verschillende spookwerknemers toe.

De rekeningnummers die de aanvallers hiervoor gebruiken zijn afkomstig van katvangers. Bij een dergelijke aanval wisten criminelen 165.000 euro van de Metropolitan Entertainment & Convention Authority (MECA) te stelen. Het geld werd uiteindelijk door katvangers opgenomen en naar de criminelen overgemaakt.

Toekomst
Trusteer verwacht dat dit soort aanvallen de komende tijd zullen toenemen. Door dit soort salarissystemen aan te vallen kunnen de aanvallers grotere bedragen stelen dan bij consumenten het geval is. Verder laat de diefstal van de inloggegevens weinig sporen binnen het systeem achter, waardoor de spookbetalingen in eerste instantie niet opvallen.

De cloudaanbieders zouden daarnaast een slechtere beveiliging hebben dan bij veel middel tot grote bedrijven het geval is.