Loonadminstrateur gehackt, klanten aangevallen
Een grote Amerikaanse online loonadministrateur is vorige week gehackt, waarbij aanvallers de gestolen informatie gebruikten om klanten met malware te infecteren.
PayChoice
PayChoice heeft 125.000 organisaties als klant en biedt daarnaast ook loonadministratie software aan 240 andere betalingsverwerkers aan. Vorige week woensdag ontvingen PayChoice klanten een e-mail die waarschuwde dat ze een plugin voor hun browser moesten downloaden om de online portal te kunnen blijven gebruiken. In werkelijkheid ging het om malware die gebruikersnamen en wachtwoorden onderschept.
Kwaadaardige link
In tegenstelling tot standaard phishing e-mails, waren deze e-mails voorzien van naam, gebruikersnaam en een deel van het wachtwoord dat de ontvanger op de online portal gebruikte. De e-mail linkte naar een kwaadaardige website die de malware aanbood of via een drive-by download het systeem probeerde te infecteren. Het ging in dit geval om IE, Adobe Flash en Adobe Reader exploits.
Trojan
Naar eigen zeggen ontdekte PayChoice op 23 september dat de online systemen gehackt waren. Direct werd de website offline gehaald en zou het klanten geadviseerd hebben om hun wachtwoorden te wijzigen. Eenmaal succesvol geinfecteerd, werd Trojan downloader Bredolab op het systeem geïnstalleerd. Deze malware downloadt aanvullende malware, in dit geval de Zeus trojan, en probeert aanwezige beveiligingssoftware uit te schakelen. Hoeveel klanten slachtoffer zijn geworden is nog onbekend.
