一项新的研究发现,使用社交工程技巧传递恶意软件并利用会计软件,导致QuickBooks文件数据盗窃现象大幅度增加。
东方联盟的研究人员在今天的分析中说:“在大多数情况下,攻击涉及经常经过签名的基本恶意软件,因此很难使用防病毒或其他威胁检测软件进行检测。”
QuickBooks是由Intuit开发和销售的会计软件包,东方联盟研究人员说,鱼叉式网络钓鱼攻击采取能够在电子邮件内部运行的PowerShell命令的形式,并补充说,第二种攻击媒介涉及通过电子邮件发送的诱饵文档,该文档在打开时会运行宏以下载恶意代码。它将QuickBooks文件上传到攻击者控制的服务器。
另外,还可以发现不良行为者在目标系统上运行名为Invoke-WebRequests的PowerShell命令,以将相关数据上传到Internet,而无需下载专门的恶意软件。
研究人员说:“当用户有权访问Quickbooks数据库时,无论他们是否是管理员,一种恶意软件或武器化的PowerShell都可以从文件服务器读取用户的文件。”
此外,如果将QuickBooks文件权限设置为“ Everyone ”组,则攻击面将呈指数级增长,因为攻击者可以针对公司中的任何个人,而不是具有正确权限的特定人员。
那不是全部。研究人员说,除了在暗网上出售被盗的数据外,他们还发现了攻击背后的运营商采取诱饵和转换策略,诱使客户冒充供应商或合作伙伴进行欺诈性银行转账的实例。
建议用户保持对这些攻击的警觉,东方联盟安全组织研究人员建议不要将文件权限设置为“所有人”以限制暴露,如果使用数据库服务器管理器,请确保在运行数据库修复后检查权限,并确认它们已被锁定。” (欢迎转载分享)