Odborníci varujú pred značným nárastom útokov krádeží dátových súborov QuickBooks

Nový výskum odhalil významný nárast krádeží údajov súborov QuickBooks pomocou trikov sociálneho inžinierstva na šírenie škodlivého softvéru a zneužívanie účtovného softvéru.

“Väčšinou útok zahŕňa základný malvér, ktorý je často podpísaný, čo sťažuje jeho detekciu pomocou antivírusu alebo iného softvéru na detekciu hrozieb,” uviedli vedci z ThreatLocker v analýze zdieľanej dnes s The Hacker News.

QuickBooks je účtovný softvérový balík vyvinutý a predávaný spoločnosťou Intuit.

Útoky typu spear-phishing majú formu príkazu PowerShell, ktorý je možné spustiť vo vnútri e-mailu, uviedli vedci a dodali, že druhý vektor útoku zahŕňa návnadu dokumentov odosielaných prostredníctvom e-mailových správ, ktoré po otvorení spustia makro na stiahnutie škodlivého kódu. ktorý nahráva súbory QuickBooks na server kontrolovaný útočníkom.

Prípadne boli zlí herci spozorovaní aj pri spúšťaní príkazu PowerShell s názvom Invoke-WebRequests na cieľových systémoch na nahrávanie relevantných údajov na internet bez potreby sťahovania špecializovaného malvéru.

„Keď má používateľ prístup k databáze Quickbooks, malvér alebo PowerShell je schopný čítať súbor používateľa zo súborového servera bez ohľadu na to, či je správcom alebo nie,“ uviedli vedci.

Okrem toho sa plocha útoku exponenciálne zvyšuje v prípade, že sú povolenia súboru QuickBooks nastavené na skupinu „Všetci“, pretože útočník sa môže zamerať na ľubovoľného jednotlivca v spoločnosti, nie na konkrétnu osobu so správnymi privilégiami.

To nie je všetko. Okrem predaja ukradnutých údajov na temnom webe výskumníci tvrdia, že našli prípady, keď sa operátori stojaci za útokmi uchýlili k taktike návnady a výmeny, aby nalákali zákazníkov na podvodné bankové prevody vydávaním sa za dodávateľov alebo partnerov.

ThreatLocker odporúča používateľom, aby boli pred týmito útokmi ostražití, a preto odporúča, aby oprávnenia súborov neboli nastavené na skupinu „Všetci“, aby sa obmedzilo vystavenie.

„Ak používate správcu databázového servera, po spustení opravy databázy skontrolujte povolenia a potvrďte, že sú uzamknuté,“ uviedli vedci.