Er is een nieuwe phishingaanval actief waarbij slachtoffers eerst worden gebeld voordat ze een e-mail met een kwaadaardige bijlage of link krijgen toegestuurd. De aanvallen vinden tegen een beperkt aantal Europese organisaties plaats en zouden mogelijk al sinds februari gaande zijn. Bij één van de aanvallen deed de aanvaller zich voor als een werknemer van een zakenpartner.

De beller vroeg de werknemer bij het aangevallen bedrijf om een rekening te betalen die per e-mail zou worden toegestuurd. De e-mail bevatte een kwaadaardige link of bijlage. De aanvallen zouden vooral tegen Franse bedrijven zijn gericht, hoewel ook organisaties in andere Europese landen het doelwit zijn geweest.

Motief
Volgens Symantec hebben de aanvallers vooral een financieel motief, aangezien de e-mail aankomt bij de financiële administratie. De werknemers van deze afdeling zijn gewend om facturen en rekeningen te verwerken, waardoor de aanval een grotere slagingskans zou hebben. Daarnaast kunnen deze werknemers ook financiële transacties verrichten.

De malware die de aanvallers gebruiken is de Shadesrat, een Remote Access Trojan (RAT). Deze malware is publiek toegankelijk en kan voor een bedrag tussen de 30 en 75 euro worden verkregen.

Eén van de ontwikkelaars van het Blackshades project werd vorig jaar gearresteerd, maar de malware is nog steeds in ontwikkeling. Shadesrat is ook in Nederland actief, zo blijkt uit onderstaande statistieken van Symantec.