De Britse overheid heeft een waarschuwing afgegeven voor malware die Outlook-accounts kaapt en allerlei data van slachtoffers steelt. De malware wordt door het Britse National Cyber Security Centre (NCSC) Authentic Antics genoemd. Hoe de verspreiding precies plaatsvindt laat de Britse overheidsinstantie niet weten. Authentic Antics werd voor het eerst in 2023 ontdekt, na onderzoek van Microsoft en securitybedrijf NCC Group.

Eenmaal actief draait de malware binnen het Outlook-proces en laat periodiek inlogvensters zien om zo inloggegevens en tokens van Microsoft Office-accounts te stelen, zo stelt het Britse NCSC in een analyse. Via de gestolen inloggegevens en tokens kunnen de aanvallers weer toegang tot andere applicaties krijgen, zoals Exchange Online, SharePoint en OneDrive. Verder stuurt de malware data van het slachtoffer via e-mail naar een adres van de aanvaller, waarbij deze e-mails niet in de 'verzonden' map van Outlook zichtbaar zijn.

Volgens de onderzoekers hebben de makers veel aandacht besteed aan het ontwerpen van de malware zodat diens activiteiten samengaan met legitieme Outlook-activiteit. Zo is de aanwezigheid op de schijf beperkt, wordt data in specifieke register-locaties van Outlook opgeslagen en is er legitieme Microsoft authentication library code aan de code toegevoegd, maar wordt die niet gebruikt. Daarnaast vindt er alleen netwerkverkeer met legitieme netwerkdiensten plaats. Het Britse NCSC stelt dat een groep aanvallers genaamd APT28 voor de malware verantwoordelijk is.