La temporada fiscal marca el comienzo del pico del robo de datos de Quickbooks - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La temporada fiscal marca el comienzo del pico del robo de datos de Quickbooks

Hola de nuevo. Te escribe Eduardo Arroyo y hoy te voy a contar sobre La temporada fiscal marca el comienzo del pico del robo de datos de Quickbooks

La temporada fiscal marca el comienzo del pico del robo de datos de Quickbooks

El malware Quickbooks se dirige a los datos fiscales que los atacantes pueden vender y utilizar en estafas de phishing.

Según un nuevo informe de ThreatLocker, los ciberdelincuentes están listos para la temporada de impuestos con un nuevo malware diseñado para exfiltrar los datos de Quickbooks y publicarlos en Internet.

Los atacantes utilizan el correo electrónico para distribuir malware, y el director ejecutivo de ThreatLocker, Danny Jenkins, dijo que Threatpost es un código simple de 15 líneas. Hay dos métodos específicos que utilizan los atacantes para llevar malware a sus destinos: el primero es emitir un comando de PowerShell para exfiltrar los datos; y el segundo es utilizar un documento de Word para proporcionar un vínculo o macro para recuperar un archivo.

Posteriormente, los archivos robados se envían a Internet, donde están disponibles.

«Una vez que el ejecutable o el comando de PowerShell se está ejecutando, recupera la ruta al archivo Quickbooks guardado más recientemente, apunta al archivo compartido o al archivo local, y luego carga el archivo a Internet», dice el informe.

Jenkins agregó que ThreatLocker ha visto un aumento de seis a siete veces en las instancias de PowerShell que acceden a QuickBooks en las últimas semanas. Una configuración de permisos predeterminada de QuickBooks hace que las cosas sean extremadamente fáciles para los atacantes, según la compañía.

«Cuando Quickbooks está en un servidor de archivos, debe usar un Administrador del servidor de base de datos de Quickbooks, dice el informe.» Al realizar una reparación, los permisos de archivo se restauran y el grupo «todos» se agrega al permiso., El acceso a la base de datos es se deja completamente abierto y se trata de un problema de seguridad grave «.

Jenkins afirmó que pudo descifrar el malware Quickbooks y rastrear los datos de Quickbooks en la web oscura. Encontró que estaba a la venta a precios desde 100 bases de datos por $ 100 y «hasta miles de dólares», para una base de datos limpia de información financiera con contraseñas, explicó.

Además de vender datos de Quickbooks con fines de lucro, Jenkins dijo que espera que los datos probablemente se almacenen y utilicen para impulsar futuras campañas de spear phishing, que dependen de la información personal para adaptar las estafas de ingeniería social y aprovecharlas al máximo.

Para proteger sus datos fiscales, ThreatLocker recomienda asegurarse de que el grupo «todos» no esté seleccionado para los permisos de Quickbooks; la mejor idea es restringir el acceso a un solo usuario.

«Si está utilizando un Administrador de servidor de base de datos, asegúrese de verificar los permisos después de realizar una reparación de la base de datos y confirmar que estén bloqueados», agrega el informe.

Jenkins dijo que su compañía examina las tendencias generales de datos que encuentran las soluciones ThreatLocker en una variedad de redes y dijo que sospecha que los ataques de Quickbooks son más visibles porque es uno de los paquetes de contabilidad más utilizados durante la temporada fiscal. Dijo que otro software similar también es probablemente vulnerable a este tipo de malware.

Jenkins le dijo a Threatpost que una vez que los atacantes tienen los datos de una persona, pueden usarlos cuando, donde y tantas veces como quieran, por una cantidad que puede parecer «siete años de mala suerte» después de una infracción. Agregó que cuando este tipo de datos fiscales sensibles se exfiltra sin alertar a las víctimas, junto con las posibles consecuencias a largo plazo, hace que este tipo de ataques sea el «peor escenario».

.

Puedes compartir en una historia de tu Instagram para que tus colegas lo sepan

??? ? ? ???

Comparte