Los ataques de phishing que se hacen pasar por facturas de QuickBooks están dirigidos a los usuarios del popular software de contabilidad en un intento de infectar los dispositivos de las víctimas con el infame troyano bancario Dridex.

Detectada por Bitdefender Antispam Lab, esta nueva campaña de malspam con el tema de Intuit atrae a los usuarios de QuickBooks con notificaciones de pago y facturas falsas.

La campaña de phishing en curso comenzó el 19 de abril, dirigida a usuarios de QuickBooks de todo el mundo. En general, el 14% de los correos electrónicos maliciosos llegaron a Estados Unidos, el 11% a Corea del Sur, Alemania e India, el 7% al Reino Unido y Francia, el 4% a Italia, el 3% a Suecia y el 2% a Canadá, Bélgica, Austria, Suiza y Holanda.

Más de la mitad de los correos electrónicos falsificados se originan en direcciones IP en Italia. Los delincuentes han falsificado el encabezado ("[email protected]"), lo que hace que parezca que los mensajes son genuinos. Para evitar múltiples herramientas de detección, los actores de amenazas juegan con las líneas de asunto y los nombres de los remitentes.

Los asuntos de correo electrónico como "Factura 349281", "Notificación de pago - Factura 001779" y "Recordatorio: Factura 017854" son solo algunas de las variaciones que utilizan los agentes malintencionados.

Los atacantes también adaptaron el cuerpo de los correos electrónicos en un intento de escabullirse de los mecanismos anti-phishing y anti-spam. Aquí hay unos ejemplos:

Aquí tiene una copia de su factura. Agradecemos su puntual pago.

El pedido se entregará al recibir el pago.

Se adjunta la siguiente factura para su revisión y procesamiento.

Se adjunta su factura. Por favor remita el pago a su más pronta conveniencia.

Los correos electrónicos contienen un adjunto de hoja de cálculo de Microsoft Excel aparentemente inofensivo que contiene una amenaza oculta. Una macro maliciosa dentro del archivo .xls lanzará un cuentagotas troyano que infectará la máquina de la víctima con Dridex.

Dridex es un troyano bancario, comúnmente enviado a través de correos electrónicos de phishing que contienen documentos maliciosos de Microsoft Word y Excel.

Este software malicioso roba información confidencial de las víctimas, incluidas las credenciales bancarias que los actores de amenazas pueden usar para acceder a cuentas bancarias y realizar transacciones fraudulentas.

Aunque el objetivo principal de este troyano bancario es robar información bancaria de las víctimas, los ciberdelincuentes han actualizado meticulosamente el software malicioso durante la última década. Desde 2020, Dridex también se ha utilizado para entregar ransomware a objetivos y maximizar las ganancias.

Los ciberdelincuentes a menudo han disfrazado sus campañas de phishing maliciosas utilizando los nombres de empresas legítimas y conocidas para garantizar la máxima eficiencia. Los correos electrónicos que imitan una factura regular de QuickBooks que suelen recibir las pequeñas empresas u organizaciones pueden tener graves consecuencias.

Los usuarios descuidados pueden terminar teniendo cargos fraudulentos en las tarjetas de crédito, transferencias bancarias inusuales desde cuentas de la empresa e incluso filtraciones de datos que pueden comprometer toda la red y la base de clientes de una organización.

Esta campaña maliciosa en desarrollo, que aprovecha la popularidad de la herramienta de contabilidad con base en los EE. UU. Utilizada por más de 2 millones de pequeñas empresas en todo el mundo, no es nueva. Las campañas de malware con temática de QuickBooks generalmente aumentan durante la temporada de impuestos con la esperanza de que atrapen a los usuarios con la guardia baja. Sin embargo, para los Estados Unidos, falta un mes para la fecha límite de la temporada de impuestos.

Nota: Este artículo se basa en información técnica proporcionada por cortesía de Bitdefender Antispam Lab