Los expertos advierten sobre un aumento notable en los ataques de robo de archivos de datos de QuickBooks

Noticias 16 de febrero de 2022

Una nueva investigación ha descubierto un aumento significativo en el robo de datos de archivos de QuickBooks utilizando trucos de ingeniería social para entregar malware y explotar el software de contabilidad.

«La mayoría de las veces, el ataque involucra malware básico que a menudo está firmado, lo que dificulta la detección mediante antivirus u otro software de detección de amenazas», dijeron los investigadores de ThreatLocker en un análisis compartido hoy con The Hacker News.

QuickBooks es un paquete de software de contabilidad desarrollado y comercializado por Intuit.

Los ataques de spear-phishing toman la forma de un comando de PowerShell que es capaz de ejecutarse dentro del correo electrónico, dijeron los investigadores, y agregaron que un segundo vector de ataque involucra documentos señuelo enviados a través de mensajes de correo electrónico que, cuando se abren, ejecutan una macro para descargar código malicioso. que carga archivos de QuickBooks en un servidor controlado por un atacante.

Alternativamente, también se han detectado malos actores ejecutando un comando de PowerShell llamado Invoke-WebRequests en los sistemas de destino para cargar datos relevantes a Internet sin la necesidad de descargar malware especializado.

«Cuando un usuario tiene acceso a la base de datos de Quickbooks, una pieza de malware o PowerShell armado es capaz de leer el archivo del usuario desde el servidor de archivos, independientemente de si es un administrador o no», dijeron los investigadores.

Además, la superficie de ataque aumenta exponencialmente en caso de que los permisos de archivo de QuickBooks se establezcan en el grupo «Todos», ya que un atacante puede atacar a cualquier persona de la empresa, en lugar de a una persona específica con los privilegios correctos.

Eso no es todo. Además de vender los datos robados en la web oscura, los investigadores dicen que encontraron casos en los que los operadores detrás de los ataques recurrieron a tácticas de cebo y cambio para atraer a los clientes a realizar transferencias bancarias fraudulentas haciéndose pasar por proveedores o socios.

Aconsejando a los usuarios que se mantengan atentos a estos ataques, ThreatLocker recomienda que los permisos de archivo no se establezcan en el grupo «Todos» para limitar la exposición.

«Si está utilizando un administrador de servidor de base de datos, asegúrese de verificar los permisos después de ejecutar una reparación de la base de datos y confirme que están bloqueados», dijeron los investigadores.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested