专家警告QuickBooks数据文件盗窃攻击显著增加

新的研究发现，QuickBooks文件数据盗窃案显著增加，这些盗窃案使用社会工程手段来传递恶意软件和利用会计软件。

ThreatLocker的研究人员在今天与《黑客新闻》分享的一份分析中说：“大多数情况下，攻击都涉及经常签名的基本恶意软件，因此很难使用防病毒软件或其他威胁检测软件进行检测。”。

QuickBooks是由Intuit开发和销售的会计软件包。

研究人员说，鱼叉式网络钓鱼攻击的形式是一种能够在电子邮件内部运行的PosiS壳命令，它补充说，第二个攻击向量包括通过电子邮件消息发送的诱骗文件，当打开时，运行宏下载恶意代码，将QuoQuooD文件上传到攻击者控制的服务器。

此外，还发现一些不良行为人在目标系统上运行名为Invoke WebRequests的PowerShell命令，将相关数据上传到互联网，而无需下载专门的恶意软件。

研究人员说：“当用户可以访问Quickbooks数据库时，一个恶意软件或武器化的PowerShell能够从文件服务器读取用户的文件，无论他们是否是管理员。”。

此外，当QuickBooks文件权限设置为“Everyone”组时，攻击面将成倍增加，因为攻击者可以攻击公司中的任何个人，而不是具有正确权限的特定人员。

还不止这些。除了在黑暗的网络上出售被盗数据外，研究人员说，他们还发现了一些案例，这些攻击背后的运营商采用诱饵和切换策略，通过冒充供应商或合作伙伴来引诱客户进行欺诈性银行转账。

ThreatLocker建议用户对这些攻击保持警惕，建议不要将文件权限设置为“所有人”组以限制暴露。

研究人员说：“如果您使用的是数据库服务器管理器，请确保在运行数据库修复后检查权限，并确认它们已被锁定。”。