Los atacantes cibernéticos abusan del servicio en la nube de QuickBooks en la campaña ‘Double-Spear’



Los ciberatacantes se esconden detrás de la marca QuickBooks para disfrazar su actividad maliciosa, advierten los investigadores. El esfuerzo es un enfoque de «doble lanza» que tiene un doble golpe: robar números de teléfono y ganar dinero en efectivo a través de pagos falsos con tarjetas de crédito.

El common software de contabilidad permite a los clientes registrarse en cuentas en la nube, desde las cuales pueden enviar solicitudes de pago, facturas y extractos, todos provenientes del dominio quickbooks.intuit.com. Según un análisis de Avanan, los ciberdelincuentes se están aprovechando de esto para enviar versiones maliciosas de documentos de QuickBooks y filtros de seguridad de correo electrónico, una vez que determinaron que la dirección no está alterada y proviene de un dominio «permitido», pasan los mensajes directamente a las bandejas de entrada.

La campaña comenzó en mayo, señalaron los investigadores en una publicación de website el jueves. El cuerpo del correo electrónico falsifica marcas como Norton o Microsoft 365 (anteriormente Office 365) y, a menudo, afirma que los objetivos deben daños monetarios. La ofensiva arroja una amplia crimson, dirigida a empresas de todos los segmentos de la industria, según la firma.

“Presenta una factura y te anima a llamar si crees que hay alguna duda”, investigadores de Avanan señaló en su análisis. «Al llamar al número proporcionado, solicitarán los detalles de la tarjeta de crédito para cancelar la transacción. Tenga en cuenta que el número está asociado con este tipo de estafas y la dirección no se correlaciona con una actual».

Una vez que el usuario ultimate llama para ver qué está pasando, los piratas informáticos recopilan el número de teléfono, lo que les permite usarlo para ataques de seguimiento a través de mensajes de texto o WhatsApp. También reciben el pago con tarjeta de crédito, por lo que la campaña tiene dos vertientes en cuanto al dolor de las víctimas.

«En este caso, estamos lidiando con un nivel bastante sofisticado, ya que los piratas informáticos han encontrado una manera de saber que este ataque funcionará y hacer una doble lanza, ganando dinero y credenciales», dice Jeremy Fuchs, analista de investigación de seguridad cibernética de Avanan. Lectura oscura.

Agrega: «Al igual que cualquier estafa de ingeniería social, la probabilidad de que alguien caiga en esto depende del usuario. Dado que el correo electrónico proviene de un dominio legítimo de QuickBooks y es una factura de lo que parece ser una empresa legítima, podría atrapar a algunos usuarios. indefenso.»

Phishing, encubierto en la legitimidad

Por supuesto, usar la legitimidad de los dominios en la nube para llegar a la bandeja de entrada no es un enfoque nuevo. Pero particularmente dado que muchas empresas continúan apoyando a los trabajadores remotos con servicios en la nube y aplicaciones de application como servicio, el enfoque ha ido en aumento ya que estos canales están menos protegidos que las tácticas de correo electrónico tradicionales.

«Con respecto a las tendencias más amplias en las que esto cae, hemos visto que los piratas informáticos utilizan sitios legítimos para fines ilegítimos», dice Fuchs. «Aprovechar la reputación de un negocio legítimo es una excelente manera de ingresar a la bandeja de entrada. Además, hemos visto un aumento en los piratas informáticos que obtienen dinero y obtienen números de teléfono para futuros ataques».

Mientras que otros servicios en la nube como Evernote, Dropbox, Microsoft, DHL y muchos más han sido abusados ​​de esta manera por los phishers, los tipos nefastos se han aprovechado de Google en unique durante los últimos meses.

Por ejemplo, en enero, un actor de amenazas usó la función de comentarios en Google Docs para engañar a los objetivos para que hicieran clic en enlaces maliciosos. Después de crear un documento, el atacante agregó un comentario que contenía un enlace malicioso y luego agregó a la víctima al comentario usando «@». Esta acción envía automáticamente al objetivo un correo electrónico con un enlace al archivo de Google Docs. El correo electrónico muestra el comentario completo, incluidos los enlaces incorrectos y otro texto agregado por el atacante.

«Las organizaciones no pueden bloquear a Google, por lo que los dominios relacionados con Google pueden ingresar a la bandeja de entrada», según Avanan. «Estas listas estáticas son robadas continuamente por piratas informáticos. Esto se ha manifestado en piratas informáticos que alojan contenido de phishing en sitios como Milanote».

Para protegerse contra ataques como estos, Avanan recomienda lo siguiente:

  • Antes de llamar a un servicio desconocido, busque el número en Google y verifique sus cuentas para ver si hubo, de hecho, algún cargo.
  • Implemente seguridad avanzada que observe más de un indicador para determinar si un correo electrónico está limpio o no.
  • Anime a los usuarios a preguntarle a TI si no están seguros de la legitimidad de un correo electrónico.



Enlace a la noticia first