A Google divulgou detalhes de um aglomerado de ameaças com motivação financeira, especializado em campanhas de phishing por voz (conhecido como vishing), projetadas para violar instâncias do Salesforce de organizações em busca de roubo de dados em larga escala e subsequente extorsão.
A equipe de inteligência de ameaças do gigante da tecnologia está monitorando a atividade sob o codinome UNC6040, que demonstra características alinhadas com grupos de ameaças com vínculos a um coletivo de cibercrimes online conhecido como The Com.
"Nos últimos meses, a UNC6040 demonstrou sucesso repetido em violar redes ao fazer com que seus operadores se passem por pessoal de suporte de TI em convincentes engajamentos de engenharia social baseados em telefonemas", disse a empresa em um relatório compartilhado coma imprensa.
Essa abordagem, adicionou o Grupo de Inteligência de Ameaças (GTIG) da Google, teve o benefício de enganar funcionários que falam inglês a realizar ações que dão aos atores de ameaças acesso ou levam ao compartilhamento de informações valiosas, como credenciais, que são então utilizadas para facilitar o roubo de dados.
Um aspecto notável das atividades da UNC6040 envolve o uso de uma versão modificada do Data Loader do Salesforce, que as vítimas são enganadas a autorizar para se conectar ao portal Salesforce da organização durante o ataque de vishing.
O Data Loader é uma aplicação usada para importar, exportar e atualizar dados em massa dentro da plataforma Salesforce.
Especificamente, os atacantes guiam o alvo para visitar a página de configuração de aplicativo conectado do Salesforce e aprovar a versão modificada do aplicativo Data Loader, que leva um nome ou marca diferente (por exemplo, "Meu Portal de Tickets") de seu equivalente legítimo.
Esta ação concede acesso não autorizado aos ambientes de cliente do Salesforce e exfiltra dados.
Além da perda de dados, os ataques servem como um trampolim para a UNC6040 mover-se lateralmente pela rede da vítima e, em seguida, acessar e colher informações de outras plataformas, como Okta, Workplace e Microsoft 365.
Incidentes selecionados também envolveram atividades de extorsão, mas apenas "vários meses" após as intrusões iniciais serem observadas, indicando uma tentativa de monetizar e lucrar com os dados roubados presumivelmente em parceria com um segundo ator de ameaça.
"Durante estas tentativas de extorsão, o ator afirmou afiliação com o grupo de hacking bem conhecido ShinyHunters, provavelmente como um método para aumentar a pressão sobre suas vítimas", disse a Google.
As sobreposições da UNC6040 com grupos ligados ao The Com decorrem do alvo de credenciais do Okta e do uso de engenharia social via suporte de TI, uma tática que foi adotada por Scattered Spider, outro ator de ameaça com motivação financeira que faz parte do coletivo organizado de forma frouxa.
A Mandiant, de propriedade da Google, em uma visão técnica do vishing e dos ataques de engenharia social, apontou os objetivos distintos de Scattered Spider e UNC6040 – ou seja, o foco do primeiro na tomada de conta para acesso amplo à rede versus o roubo direcionado de dados do Salesforce por UNC6040 – enfatizando os "riscos diversos" provenientes do vishing.
A empresa disse que os atores de ameaças conduzindo campanhas de vishing também armam sistemas telefônicos automatizados que têm mensagens pré-gravadas e menus interativos para obter mais informações sobre os alvos que procuram penetrar.
Esses serviços telefônicos permitem que um invasor "anonimamente" identifique problemas comuns enfrentados pelos usuários finais, nomes de aplicações internas, números adicionais de telefone para equipes de suporte específicas e, às vezes, alertas sobre problemas técnicos em toda a empresa.
"Campanhas eficazes de engenharia social são construídas sobre reconhecimento extensivo", disse Nick Guttilla, da equipe de Resposta a Incidentes da Mandiant.
A prevalência de interações sociais pessoais diminuiu e estruturas de TI remota, como um desk de serviço terceirizado, normalizou o engajamento dos funcionários com pessoal externo ou menos familiar.
Como resultado, os atores de ameaças continuam a usar táticas de engenharia social
A campanha de vishing não passou despercebida pela Salesforce, que, em março de 2025, alertou sobre atores de ameaças usando táticas de engenharia social para se passarem por pessoal de suporte de TI ao telefone e enganar os funcionários de seus clientes a entregarem suas credenciais ou aprovar o aplicativo Data Loader modificado.
"Eles foram relatados atraindo funcionários de nossos clientes e trabalhadores de suporte terceirizado para páginas de phishing projetadas para roubar credenciais e tokens de MFA ou instigando os usuários a navegar até a página login.salesforce[.]com/setup/connect para adicionar um aplicativo conectado malicioso", disse a empresa.
Em alguns casos, observamos que o aplicativo conectado malicioso é uma versão modificada do aplicativo Data Loader publicada sob um nome e/ou marca diferentes.
Uma vez que o ator de ameaça ganha acesso a uma conta Salesforce do cliente ou adiciona um aplicativo conectado, eles usam o aplicativo conectado para exfiltrar dados. O desenvolvimento não apenas destaca a sofisticação contínua das campanhas de engenharia social, mas também mostra como o pessoal de suporte de TI está sendo cada vez mais visado como forma de obter acesso inicial.
"O sucesso de campanhas como a da UNC6040, aproveitando essas táticas refinadas de vishing, demonstra que essa abordagem permanece um vetor de ameaça eficaz para grupos com motivação financeira que buscam violar as defesas organizacionais", disse a Google.
Dado o longo período entre o comprometimento inicial e a extorsão, é possível que várias organizações vítimas e potencialmente vítimas a jusante possam enfrentar demandas de extorsão nas próximas semanas ou meses.
Atualização Em uma declaração compartilhada com o The Hacker News, a Salesforce disse que todos os incidentes observados dependiam da manipulação de usuários finais, e que não envolviam a exploração de nenhuma vulnerabilidade de segurança em seus sistemas.
A Salesforce tem segurança de nível empresarial integrada a cada parte de nossa plataforma, e não há indicação de que o problema descrito decorra de qualquer vulnerabilidade inerente a nossos serviços.
Ataques como phishing por voz são golpes de engenharia social direcionados projetados para explorar lacunas na consciência de cibersegurança e melhores práticas de usuários individuais.
A segurança é uma responsabilidade compartilhada, e fornecemos aos clientes ferramentas, orientações e recursos de segurança, como Autenticação Multifatorial e restrições de IP, para ajudar a defender contra ameaças em evolução.
Para obter detalhes completos, consulte nosso blog sobre como os clientes podem proteger seus ambientes Salesforce contra engenharia social: https://www.salesforce.com/blog/protect-against-social-engineering/.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...