Eind april hebben cybercriminelen een nieuwe variant van de Hawkeye-keylogger verspreid, die onder andere tegen Nederlandse doelen is ingezet, zo meldt Microsoft in een analyse. De Hawkeye-keylogger, ook bekend als iSpy, bestaat al jaren. Via de malware worden wachtwoorden uit browsers en e-mailclients gestolen. In het verleden is Hawkeye onder andere gebruikt voor het plegen van ceo-fraude.

Aanvallers hadden met de gestolen wachtwoorden e-mailaccounts van bedrijfsdirecteuren overgenomen. Vervolgens werd er via de gekaapte e-mailaccounts een betaalopdracht naar de financiële administratie gestuurd met het verzoek om een bepaald bedrag naar een bepaalde rekening over te maken. Anti-virusbedrijf Trend Micro liet in 2016 weten dat Hawkeye kleine en middelgrote bedrijven wereldwijd miljoenen euro's heeft gekost.

Volgens Microsoft was dit ook het laatste jaar dat de keylogger voor een grootschalige campagne werd gebruikt. In april kwamen de ontwikkelaars van Hawkeye met een nieuwe versie. Net als voorgaande edities werd ook deze nieuwe versie via verschillende e-mailbijlagen verspreid. De e-mailbijlagen bevatten documenten met een kwaadaardige macro. Zodra gebruikers de macro inschakelen wordt de keylogger gedownload.

Van alle documenten die Microsoft tijdens de aanvalscampagne in april detecteerde was 15 procent tegen doelen in Nederland gericht. Alleen in de Verenigde Arabische Emiraten (19 procent) werden meer organisaties aangevallen. De aanvallers richtten zich vooral op software- en techbedrijven, gevolgd door financiële organisaties.