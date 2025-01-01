Aanvallers maken gebruik van het contactformulier dat bedrijven op hun websites hebben staan voor het uitvoeren van phishingaanvallen. Dat laat securitybedrijf Check Point in een analyse weten. Door het gebruik van het contactformulier wordt de normale "phishing flow", waarbij de aanvaller het doelwit een e-mail stuurt, omgedraaid. Het is nu het doelwit dat de aanvaller benadert.

Voor de aanval hebben de aanvallers verschillende zakelijk ogende domeinen geregistreerd. Vervolgens laten ze via het contactformulier van het aangevallen bedrijf een e-mailadres achter, waarna het bedrijf de e-mailcorrespondentie start. Volgens de onderzoekers blijven de aanvallers één tot twee weken met het bedrijf communiceren voordat ze een link naar een zip-bestand versturen. Het zou zogenaamd om een Non-Disclosure Agreement (NDA) gaan. Dit zip-bestand bevat weer .lnk-bestand dat uiteindelijk een backdoor installeert. Om doelwitten niets te laten vermoeden krijgen die als afleidingsmanoeuvre een echt NDA-document te zien.

Volgens Check Point hebben de aanvallers het vooral voorzien op industriële productiebedrijven, maar ook op hardware- en halfgeleiderfabrikanten, leveranciers van consumentengoederen en diensten en biotech- en farmaceutische bedrijven. Dat ook elektronica-, luchtvaart- en energiebedrijven doelwit zijn, naast meer traditionele industriële doelwitten, laat volgens de onderzoekers zien dat de aanvallers het hebben gemunt op organisaties met waardevolle proprietary data, sterke leveranciersnetwerken of te misbruiken infrastructuur.