Onderzoekers van securitybedrijf Fortinet waarschuwen voor criminelen die zogenaamde ticketbevestigingen versturen waarmee wordt geprobeerd om wachtwoorden uit een groot aantal browsers en e-mailclients te stelen. De e-mail heeft als onderwerp "Your Flight Ticket is now Confirmed".

Het bericht wijst vervolgens naar een 7z-archiefbestand. Deze bestanden kunnen standaard niet door Windows worden uitgepakt, maar vereisen een aanvullend archiveringsprogramma zoals 7-Zip. Het uitgepakte archief bevat een exe-bestand dat zich als pdf probeert voor te doen. In werkelijkheid gaat het om de HawkEye-malware, die onder andere bij ceo-fraude is gebruikt en bedrijven miljoenen euro's heeft gekost. Vorig jaar waarschuwde Microsoft dat HawkEye ook in Nederland werd ingezet.

Eenmaal actief op het systeem probeert HawkEye allerlei url's, gebruikersnamen en wachtwoorden uit browsers en e-mailclients te stelen, alsmede data van het clipboard. De malware richt zich onder andere op Internet Explorer, Google Chrome, Apple Safari, Opera, Mozilla Sunbird, Mozilla Firefox, Mozilla SeaMonkey, YandexBrowser en Vivaldi-browser. Wat betreft de e-mailclients wordt er geprobeerd om wachtwoorden te stelen uit Qualcomm Eudora, Mozilla Thunderbird, Microsoft Office Outlook, IncrediMail, Groupmail, MSNMessenger, Yahoo!Messenger en Windows Mail.

Alle verzamelde inloggegevens worden vervolgens naar een e-mailadres van de aanvaller gemaild. Aangezien de malware de inloggegevens van dit e-mailadres gebruikt om de data te versturen konden onderzoekers van Fortinet ook op het account van de aanvaller inloggen. Dat bleek van allerlei machines gestolen inloggegevens te bevatten.