QuickBooks, développé et commercialisé par Intuit, est un logiciel de comptabilité destiné principalement aux petites et moyennes entreprises (PME). Ces PME utilisent ce logiciel pour accepter des paiements commerciaux, gérer et payer des factures, des fonctions de paie et d’autres fonctions liées aux finances et à la comptabilité. Avec une part de marché d’environ 75% et environ 29 millions d’utilisateurs, QuickBooks connaît une forte popularité auprès des PME et est un leader incontesté parmi les solutions de gestion financière et commerciale de niche.
UNE CIBLE DE CHOIX POUR LES CYBERCRIMINELS
Au cours des derniers mois, selon de nouvelles recherches, les cybercriminels ont de plus en plus ciblé les fichiers de données d’application QuickBooks des PME. Les résultats de Threat Locker démontrent que les attaquants utilisent deux formes d’attaques de phishing pour accéder et exploiter le logiciel de comptabilité. La première méthode consiste pour les attaquants à envoyer un courriel malveillant contenant une commande PowerShell. Pour la seconde méthode, les cybercriminels joignent un document à un courriel, le faisant passer pour un document légitime tel qu’une facture. Si le destinataire du courriel ouvre la pièce jointe, une macro (série d’instructions exécutées automatiquement) ou un lien intégré au document télécharge un fichier exécutable sur l’ordinateur du destinataire depuis Internet. Une fois que la commande PowerShell ou l’exécutable s’exécute, elle récupère immédiatement l’emplacement du fichier QuickBooks le plus récemment sauvegardé et pointe cet emplacement vers le partage de fichiers et télécharge le fichier sur Internet. La plupart du temps, les attaques impliquent des logiciels malveillants signés, ce qui les rend plus furtifs et plus difficiles à détecter à l’aide de logiciels de détection des menaces.
UN DÉFAUT DE CONCEPTION PRÉSENTE UNE FAILLE
La sécurité est généralement prise en compte dans la conception des programmes de comptabilité et Quickbooks ne fait pas exception à la règle, car les attaquants y accèdent en exploitant un défaut de conception fondamental. Danny Jenkins, co-fondateur et PDG de Threat Locker, a souligné que lorsqu’un administrateur système exécute une commande de réparation sur la base de données QuickBooks, généralement après un plantage du système, les autorisations de partage de fichiers sont également réinitialisées par défaut, rendant la base de données accessible à tous sur le réseau de l’entreprise. Cela signifie que les pirates peuvent accéder aux bases de données sensibles s’ils pénètrent dans le système après une nouvelle réparation.
LA PROCHAINE PHASE DE L’ATTAQUE
Une fois que le fichier volé est téléchargé sur Internet, ces pirates le transforment en marchandise en le vendant sur la toile noire, a noté Threat Locker. Ces données sont ensuite utilisées par d’autres pirates pour lancer des attaques plus ciblées sur les clients et les partenaires commerciaux des PME compromises. Une récente attaque observée par une entreprise de cybersécurité, Darktrace, impliquait que les pirates compromettent l’adresse électronique du comptable d’une entreprise pour envoyer un courriel de phishing au PDG. Le courriel comprenait un message vocal pour persuader le PDG de saisir des détails confidentiels tels que les identifiants de connexion sur une page web bidon. « Le fait que ces attaques visaient spécifiquement le PDG et uniquement les personnes ayant accès aux recherches et à la propriété intellectuelle de l’entreprise montre qu’il s’agissait d’une attaque bien planifiée et méticuleusement exécutée », a déclaré M. Darktrace dans son rapport.
PLAN ET APPROCHE DE REMÉDIATION
Les PME doivent se rendre à l’évidence qu’elles ne sont pas trop petites pour attirer l’attention des cybercriminels. En fait, elles peuvent être utilisées par les hackers pour accéder à des entreprises plus importantes qui peuvent être soit des clients soit des partenaires de ces PME. Les petites entreprises doivent donc envisager soigneusement la mise en place d’un système de sécurité adapté à leurs besoins, doté des politiques et des outils adéquats pour se prémunir contre les menaces des cybercriminels.