Ciberatacantes abusam de aplicativo Salesforce modificado para roubar dados e extorquir empresas

Agentes maliciosos, rastreados pelo Google Threat Intelligence Group como UNC6040, têm usado uma versão modificada de um aplicativo relacionado ao Salesforce — o Data Loader, ferramenta proprietária para importação de dados em massa em ambientes do Salesforce — para enganar funcionários de empresas na Europa e nas Américas. Como? As vítimas são induzidas a instalar a versão maliciosa, o que resulta no roubo de grandes volumes de dados e no acesso não autorizado a outros serviços corporativos em nuvem.

A campanha utiliza chamadas de voz para convencer os funcionários a acessar uma página falsa de configuração de aplicativo vinculada ao Salesforce, onde são levados a aprovar a versão adulterada do Data Loader, criada pelos criminosos para simular a ferramenta legítima.

Em um alerta recente, a Mandiant, divisão do Google, destacou: “Organizações, vocês estão preparadas para phishing de voz? O UNC6040 é um grupo de ameaças com motivação financeira, especializado em vishing para comprometer instâncias do Salesforce, resultando em roubo de dados em larga escala.”

Cerca de 20 organizações foram afetadas pela campanha do UNC6040 nos últimos meses, com um subconjunto delas tendo seus dados exfiltrados com sucesso. Um porta-voz da Salesforce afirmou à Reuters por e-mail: “Não há evidências de que o problema descrito seja resultado de qualquer vulnerabilidade inerente à nossa plataforma.”

No mês passado, ciberatacantes acessaram e vazaram 64 GB de dados da Coca-Cola Europacific Partners, uma das maiores distribuidoras da marca, sediada no Reino Unido. Suspeita-se que os invasores tenham obtido os dados por meio da conta Salesforce da empresa. A campanha de vishing pode ter sido o vetor inicial do ataque.