E-mailaccounts van IKEA-medewerkers zijn gebruikt voor het versturen van phishingmails naar andere werknemers, leveranciers en zakenpartners van het bedrijf. Daarbij liften de aanvallers mee op eerdere e-mailconversaties waardoor de malafide berichten lastiger zijn te detecteren, aldus IKEA in een interne e-mail waarover Bleeping Computer bericht. Verdere details over de aanval zijn niet door IKEA gegeven.

De beruchte Emotet-malware, die onlangs na een maandenlange stilte weer actief werd, lift mee op eerder verstuurde e-mails van al geïnfecteerde slachtoffers. Zo wordt de inhoud van het oorspronkelijke bericht aan de kwaadaardige e-mail toegevoegd, aangevuld met een tekst en link die naar de malware wijst. Dit moet ervoor zorgen dat potentiële slachtoffers het gelinkte of meegestuurde malafide document openen. Deze tactiek paste Emotet in het verleden al toe en wordt ook door de recent ontdekte exemplaren ingezet.

Of IKEA door de Emotet-malware is getroffen is onbekend. "Er is een cyberaanval gaande die het op IKEA-mailboxes heeft voorzien. Andere IKEA-organisaties, leveranciers en zakenpartners zijn door dezelfde aanval gecompromitteerd en verspreiden malafide e-mails verder onder IKEA-personeel", aldus het bericht aan medewerkers. "Dit houdt in dat de aanval afkomstig kan zijn via een e-mail van iemand anders waarmee je werkt, van een externe organisatie en als reply op een al gaande conversatie."

De links in de berichten die via gecompromitteerde e-mailaccounts worden verstuurd wijzen naar zip-bestanden die weer een malafide Excel-bestand bevatten. Zodra de ontvanger van het document de macro's in dit Excel-bestand inschakelt wordt er malware op het systeem geïnstalleerd, die vervolgens het e-mailaccount voor verdere aanvallen kan gebruiken.