Los expertos advierten sobre un aumento notable en los ataques de robo de archivos de datos de QuickBooks

Una nueva investigación ha descubierto un aumento significativo en el robo de datos de archivos de QuickBooks utilizando trucos de ingeniería social para entregar malware y explotar el software de contabilidad.

«La mayoría de las veces, el ataque involucra malware básico que a menudo está firmado, lo que dificulta la detección mediante antivirus u otro software de detección de amenazas», dijeron los investigadores de ThreatLocker en un análisis compartido hoy con The Hacker News.

QuickBooks es un paquete de software de contabilidad desarrollado y comercializado por Intuit.

Los ataques de spear-phishing toman la forma de un comando de PowerShell que es capaz de ejecutarse dentro del correo electrónico, dijeron los investigadores, y agregaron que un segundo vector de ataque involucra documentos señuelo enviados a través de mensajes de correo electrónico que, cuando se abren, ejecutan una macro para descargar código malicioso. que carga archivos de QuickBooks en un servidor controlado por un atacante.

Alternativamente, también se han detectado malos actores ejecutando un comando de PowerShell llamado Invoke-WebRequests en los sistemas de destino para cargar datos relevantes a Internet sin la necesidad de descargar malware especializado.

«Cuando un usuario tiene acceso a la base de datos de Quickbooks, una pieza de malware o PowerShell armado es capaz de leer el archivo del usuario desde el servidor de archivos, independientemente de si es un administrador o no», dijeron los investigadores.

Además, la superficie de ataque aumenta exponencialmente en caso de que los permisos de archivo de QuickBooks se establezcan en el grupo «Todos», ya que un atacante puede atacar a cualquier persona de la empresa, en lugar de a una persona específica con los privilegios correctos.

Eso no es todo. Además de vender los datos robados en la web oscura, los investigadores dicen que encontraron casos en los que los operadores detrás de los ataques recurrieron a tácticas de cebo y cambio para atraer a los clientes a realizar transferencias bancarias fraudulentas haciéndose pasar por proveedores o socios.

Aconsejando a los usuarios que se mantengan atentos a estos ataques, ThreatLocker recomienda que los permisos de archivo no se establezcan en el grupo «Todos» para limitar la exposición.

«Si está utilizando un administrador de servidor de base de datos, asegúrese de verificar los permisos después de ejecutar una reparación de la base de datos y confirme que están bloqueados», dijeron los investigadores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática