Aproximadamente 20 organizações foram alvo de um golpe de phishing que imita o suporte de TI, valendo-se do Data Loader da Salesforce para exfiltração de dados.
De acordo com um estudo do Google, o grupo conhecido como UNC6040 é impulsionado por motivações financeiras e executa esses ataques visando adquirir credenciais para invasão de outras plataformas, incluindo o Microsoft 365.
O Google sugere a implementação de uma estratégia de defesa em camadas, envolvendo a conscientização, a restrição de permissões e a autenticação multifator.
Um conjunto de criminosos digitais, com expertise em golpes de engenharia social, ludibriou empregados de aproximadamente 20 empresas, conseguindo subtrair dados sensíveis.
O alerta veio por parte do Google Threat Intelligence Group nesta última quarta-feira.
Segundo o relatório do grupo de inteligência do Google, o bando designado como UNC6040 se faz passar por suporte de TI em chamadas fictícias, persuadindo as vítimas a instalar uma versão alterada do Data Loader — uma ferramenta legítima da Salesforce, reconhecida nas esferas corporativas brasileiras.
Desdobramentos do Caso
Os ataques tiveram início em 2025, primariamente motivados por questões financeiras, impactando negócios nos ramos de hospitalidade, varejo e educação, tanto nas Américas quanto na Europa.
A abordagem revelou-se altamente eficaz contra corporações multinacionais de fala inglesa.
A tática empregada consiste em: durante uma chamada, o fraudador instrui o colaborador a abrir as configurações do Salesforce Connect e digitar um código que sincroniza o aplicativo modificado ao ambiente empresarial.
Além disso, a infraestrutura do UNC6040 inclui painéis de phishing da Okta, empregados para enganar as vítimas e extrair credenciais e tokens MFA.
Em certos episódios, os delinquentes lograram navegar pela rede e acessar outras plataformas, como a Microsoft 365 e o Workplace.
O relatório do Google aponta que, apesar de o UNC6040 ser um grupo com características próprias, ele partilha práticas semelhantes com outro agrupamento identificado por “The Com”.
A gigante da tecnologia assegura que os incidentes não são resultantes de falhas na Salesforce.
“Em todas as instâncias registradas, os atacantes manipularam os usuários finais, sem explorar qualquer brecha inerente na Salesforce”, evidencia o relatório.
Medidas de Proteção
Esse modal de ataque mira predominantemente em ambientes corporativos.
Em março, a Salesforce lançou um manual de medidas preventivas, enfatizando a relevância do esclarecimento e das melhores práticas de segurança.
Até o momento, não se registrou ataque de ransomware, embora casos de extorsão tenham acontecido meses após as violações.
Para além da atenção com informações em chamadas e mensagens, o Google orienta que as empresas adotem uma estratégia de “defesa em camadas”.
Entre as medidas fundamentais destacam-se: atribuir somente as permissões necessárias aos usuários, monitorar e inibir atividades suspeitas, e estender a autenticação multifator universalmente nos âmbitos digitais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...