Een spionagegroep maakt gebruik van Exchange-servers voor het aansturen van malware die berichten van de populaire chatapp Signal steelt, zo meldt Microsoft. In een reeks berichten op Twitter laat Microsoft weten dat defensiebedrijven in Oekraïne en Oost-Europa het doelwit van phishingaanvallen zijn geweest waarbij malafide Excel-documenten werden verstuurd.
De Excel-documenten bevatten een macro die, zodra ingeschakeld door de ontvanger, de DeliveryCheck-malware installeert. Deze malware richt zich specifiek op het stelen van berichten die via de Signal Desktop-app zijn verstuurd. Naast Signal-berichten kan de malware ook inloggegevens, cookies en andere gegevens van onder andere Chrome, Firefox, FileZilla, Outlook, OpenVPN en WinSCP stelen, alsmede databases en configuraties van onder andere wachtwoordmanager KeePass, Azure en Amazon Web Services.
Net als bij veel andere malware wordt ook DeliveryCheck via een command & control-server aangestuurd, waarvan het de opdrachten ontvangt. Wat DeliveryCheck doet opvallen is dat hiervoor gebruik wordt gemaakt van gecompromitteerde Exchange-servers. Microsoft claimt dat de aanvallen het werk zijn van een vanuit Rusland opererende groep genaamd Turla.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.