Malware

Une nouvelle recherche a révélé une augmentation significative du vol de données de fichiers QuickBooks en utilisant des astuces d’ingénierie sociale pour diffuser des logiciels malveillants et exploiter le logiciel de comptabilité.

«La plupart du temps, l’attaque implique des logiciels malveillants de base qui sont souvent signés, ce qui rend la détection difficile à l’aide d’un antivirus ou d’un autre logiciel de détection de menaces», ont déclaré des chercheurs de ThreatLocker dans une analyse partagée aujourd’hui avec The Hacker News.

QuickBooks est un progiciel de comptabilité développé et commercialisé par Intuit.

Les attaques de spear-phishing prennent la forme d’une commande PowerShell capable de s’exécuter à l’intérieur du courrier électronique, ont déclaré les chercheurs, ajoutant qu’un deuxième vecteur d’attaque implique des documents leurres envoyés via des messages électroniques qui, une fois ouverts, exécutent une macro pour télécharger du code malveillant. qui télécharge les fichiers QuickBooks sur un serveur contrôlé par un attaquant.

Alternativement, de mauvais acteurs ont également été repérés exécutant une commande PowerShell appelée Invoke-WebRequests sur les systèmes cibles pour télécharger des données pertinentes sur Internet sans avoir besoin de télécharger des logiciels malveillants spécialisés.

Publicité

«Lorsqu’un utilisateur a accès à la base de données Quickbooks, un logiciel malveillant ou PowerShell armé est capable de lire le fichier de l’utilisateur à partir du serveur de fichiers, qu’il soit administrateur ou non», ont déclaré les chercheurs.

En outre, la surface d’attaque augmente de façon exponentielle dans le cas où les autorisations de fichier QuickBooks sont définies sur « Tout le monde« , car un attaquant peut cibler n’importe quel individu dans l’entreprise, par opposition à une personne spécifique disposant des privilèges appropriés.

Ce n’est pas tout. En plus de vendre les données volées sur le dark web, les chercheurs disent avoir trouvé des cas où les opérateurs derrière les attaques ont eu recours à des tactiques d’appât et de changement pour inciter les clients à effectuer des virements bancaires frauduleux en se faisant passer pour des fournisseurs ou des partenaires.

Conseillant aux utilisateurs de rester vigilants face à ces attaques, ThreatLocker recommande que les autorisations de fichier ne soient pas définies sur le groupe «Tout le monde» pour limiter l’exposition.

«Si vous utilisez un gestionnaire de serveur de base de données, assurez-vous de vérifier les autorisations après avoir exécuté une réparation de base de données et confirmez qu’elles sont verrouillées», ont déclaré les chercheurs.

Rate this post
Publicité
Article précédentPokemon: les meilleures choses que l’anime a ajoutées à la franchise
Article suivantAprès le drame de Google, Big Tech doit lutter contre les biais
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici