Penelitian baru telah menemukan peningkatan yang signifikan dalam pencurian data file QuickBooks menggunakan trik rekayasa sosial. Untuk mengirimkan malware dan mengeksploitasi perangkat lunak akuntansi.
Sebagian besar waktu, serangan tersebut melibatkan malware dasar yang sering ditandatangani.
Sehingga sulit terdeteksi menggunakan antivirus atau perangkat lunak pendeteksi ancaman lainnya.
kata peneliti dari ThreatLocker dalam sebuah analisis resmi yang sudah mereka lakukan
QuickBooks adalah paket perangkat lunak akuntansi yang dikembangkan dan dipasarkan oleh perusahaan Intuit.
Serangan spear-phishing mengambil bentuk perintah PowerShell yang mampu berjalan di dalam email, kata para peneliti, menambahkan.
Vektor serangan kedua melibatkan dokumen umpan yang dikirim melalui pesan email. Dan ketika terbuka, akan menjalankan makro untuk mengunduh kode berbahaya yang mengunggah file QuickBooks ke server dengan kendali dari penyerang.
Atau, pelaku jahat juga telah terlihat menjalankan perintah PowerShell yang mereka sebut Invoke-WebRequests pada sistem target. Dengan tujuan untuk mengunggah data yang relevan ke Internet tanpa perlu mengunduh malware khusus.
Pemperingatan tentang serangan pencurian file data QuickBooks
Saat pengguna memiliki akses ke database Quickbooks, malware atau PowerShell yang sudah mendapat modifikasi akan mampu membaca file pengguna dari server file terlepas dari apakah mereka administrator atau bukan.
kata para peneliti.
Selain itu, permukaan serangan meningkat secara eksponensial jika izin file QuickBooks menggunakan setelan ke grup “Semua Orang“.
Karena penyerang dapat menargetkan individu mana pun dalam perusahaan, bukan orang tertentu dengan hak istimewa yang benar.
Bukan itu saja. Selain menjual data yang berhasil mereka dapatkan pada dark web, para peneliti mengatakan mereka menemukan contoh yang mana operator di balik serangan menggunakan taktik umpan-dan-beralih.
Tujuannya untuk memikat pelanggan agar melakukan transfer bank yang curang dengan menyamar sebagai pemasok atau mitra.
Menyarankan pengguna untuk tetap waspada terhadap serangan ini, ThreatLocker merekomendasikan bahwa izin file tidak memiliki pengaturan ke grup “Semua Orang” untuk membatasi pemaparan.
“Jika Anda menggunakan Database Server Manager, pastikan untuk memeriksa izin setelah menjalankan perbaikan database dan mengonfirmasi bahwa mereka terkunci,” kata para peneliti.