Criminelen kapen lopende mailwisselingen om malware te verspreiden, zo waarschuwt anti-virusbedrijf Trend Micro. De aanval begint met een e-mailaccount dat de aanvallers weten te hacken. Vervolgens beantwoorden ze lopende e-mailwisselingen met een e-mail die als bijlage een kwaadaardig Word-document bevat.

"Als de gebruiker op de kwaadaardige .doc-bijlage in de e-mail klikt, wordt PowerShell aangeroepen om de laatste versie van de Ursnif-trojan te downloaden voordat het bestand wordt uitgevoerd", zegt onderzoeker Erika Mendoza. Het uitvoeren van kwaadaardige code in een doc-document zonder verdere interactie behalve het openen zou op een zeroday-exploit duiden. Er wordt echter geen verdere informatie gegeven. We hebben Trend Micro dan ook om uitleg gevraagd.

De Ursnif-trojan die via de bijlage wordt verspreid is bankmalware die gegevens voor internetbankieren steelt. "Omdat de afzender een bekende is en de e-mail onderdeel van een conversatie, kan de ontvanger eenvoudig denken dat het om een echt antwoord gaat. Daarnaast lijken het onderwerp en de grammatica correct en de handtekening onderaan de e-mail is aanwezig", merkt Mendoza op.

Toch zijn er ook signalen die erop duiden dat er iets mis is. In het voorbeeld dat wordt gegeven was de oorspronkelijke e-mailwisseling in het Frans, terwijl de e-mail met malware in het Engels was. Daarnaast is de inhoud van de ingevoegde e-mail ook vrij generiek en verscheelt de gebruikte handtekening. Gebruikers krijgen dan ook het advies om goed op dergelijke signalen te letten. Volgens Trend Micro zijn organisaties in de financiële, onderwijs- en energiesector in Europa en de Verenigde Staten het voornaamste doelwit van de aanvallers.