Een nieuw onthulde spionagecampagne maakt gebruik van legitieme gratis recoverytools van softwarebedrijf NirSoft om wachtwoorden van besmette computers te stelen, zo laat het Roemeense anti-virusbedrijf Bitdefender weten. Volgens de virusbestrijder gaat het om een "high-level" spionagecampagne die honderden slachtoffers binnen niet nader genoemde overheidsinstanties heeft gemaakt.

De aanval begint met een gerichte e-mail die als bijlage een Word-document bevat. Dit document bevat weer een kwaadaardige macro. Net als bij veel andere aanvallen moet de ontvanger van het document de macro eerst zelf inschakelen voordat de malware het systeem kan infecteren. De aanvallers hebben hiervoor instructies in het document gezet. Wanneer gebruikers de macro inderdaad inschakelen wordt de Netrepser-malware geïnstalleerd.

Deze malware is ontwikkeld om allerlei gegevens van systemen te installeren. Om wachtwoorden te stelen maken de aanvallers geen gebruik van zelfontwikkelde software, maar downloaden ze verschillende gratis recoverytools van de legitieme softwareontwikkelaar Nir Sofer en zijn bedrijf NirSoft op de computer. Het gaat om Email Password Recovery, IM Password Recovery en WebBrowserPassView waarmee wachtwoorden voor e-mail- en instantmessagingaccounts worden verzameld, alsmede opgeslagen inloggegevens in de browser.

De aanvallers maken ook gebruik van Microsofts SDelete om bepaalde bestanden op het systeem te verwijderen, waarschijnlijk om geen forensische sporen achter te laten. "Hoewel de Netrepser-malware gratis tools gebruikt om verschillende taken uit te voeren, suggereert de technische complexiteit van de aanval en aangevallen doelwitten dat Netrepser meer is dan een commerciële tool", aldus de onderzoekers in hun rapport (pdf). Sinds de malware vorig jaar mei werd ontdekt raakten meer dan 500 systemen er wereldwijd mee besmet.