Bij verschillende aanvalscampagnes zijn criminelen erin geslaagd om duizenden zakelijke e-mailaccounts van industriële bedrijven te compromitteren en vervolgens te gebruiken voor het verspreiden van spyware. Dat meldt antivirusbedrijf Kaspersky op basis van eigen onderzoek.

De aanvallers maken gebruik van commercieel verkrijgbare spyware zoals AgentTesla, HawkEye, Formbook, Azorult en Lokibot. De spyware wordt als e-mailbijlage verstuurd. Zodra slachtoffers de bijlage openen en de spyware het systeem succesvol weet te infecteren worden wachtwoorden en andere inloggegevens onderschept en naar de aanvallers teruggestuurd.

Die krijgen zo toegang tot onder andere zakelijke e-mailaccounts. De toegang tot deze accounts wordt weer gebruikt voor het uitvoeren van nieuwe aanvallen, waarbij de spyware wordt verstuurd naar de contacten van de gecompromitteerde mailbox. Kaspersky identificeerde meer dan tweeduizend zakelijke e-mailaccounts van industriële bedrijven die waren gecompromitteerd en gebruikt als onderdeel van de spywarecampagne.

De virusbestrijder schat dat inloggegevens van veel meer e-mailaccounts, naar schatting ruim zevenduizend, zijn gestolen en verkocht op internet of misbruikt voor andere doeleinden. De meeste van de aanvallen worden toegeschreven aan "low-skilled" individuen en groepen. De aanvallers hebben met name een financieel motief. Sommige zoeken specifiek naar inloggegevens van bedrijfsnetwerken, zoals SSH, RDP en VPN, om die te stelen en door te verkopen. Dergelijke data is vervolgens te gebruiken door ransomwaregroepen of statelijke actoren.