Hackerii păcălesc angajații companiilor din Europa și America să instaleze o versiune modificată a unei aplicații Salesforce, foarte folosită pentru gestionarea relațiilor cu clienții (CRM), lucru care le permite să fure cantități mari de date, să obțină acces la alte servicii cloud corporative și să șantajeze ulterior aceste companii, a anunțat Google miercuri, potrivit CNN, care citează Reuters.
Grupul de hackeri, monitorizat de Google Threat Intelligence Group sub denumirea UNC6040, „s-a dovedit deosebit de eficient în a păcăli angajații” să instaleze o versiune modificată a Data Loader de la Salesforce, un instrument folosit pentru importul masiv de date în cadrul Salesforce, o platformă software bazate pe cloud.
Aceștia folosesc apeluri vocale pentru a convinge angajații să acceseze o presupusă pagină de configurare a aplicației conectate la Salesforce, unde sunt determinați să aprobe versiunea neautorizată, modificată, creată de hackeri pentru a imita Data Loader.
Odată ce aplicația este instalată, hackerii dobândesc „capacități semnificative de a accesa, interoga și extrage informații sensibile direct din mediile compromise ale clienților Salesforce”, au afirmat cercetătorii.
Accesul obținut le permite, de asemenea, hackerilor să se deplaseze în rețeaua clientului, facilitând atacuri asupra altor servicii cloud și rețele interne ale companiei.
Majoritatea angajaților, precum cei din vânzări, marketing sau suport clienți, folosesc Salesforce direct prin browser sau aplicații mobile pentru a gestiona relațiile cu clienții, a urmări oportunitățile de vânzare, a răspunde solicitărilor sau a urmări campaniile, potrivit site-ului companiei. Totodată, anumiți angajați, cum ar fi administratorii de sistem sau analiștii de date, pot folosi și aplicații suplimentare legate de Salesforce, cum este Data Loader, un program pe care îl instalează local pentru a importa sau exporta volume mari de date.
20 de companii afectate de UNC6040 până acum
Infrastructura tehnică a acestei campanii prezintă caracteristici comune cu presupuse legături către ecosistemul mai larg și mai puțin organizat cunoscut sub numele „The Com”, asociat cu grupuri mici, disparate, care desfășoară activități cibernetice infracționale și uneori violente, au declarat cercetătorii.
Un purtător de cuvânt al Google a declarat pentru Reuters că aproximativ 20 de organizații au fost afectate de campania UNC6040, observată în ultimele luni. Datele unui subset al acestor organizații au fost exfiltrate cu succes, a precizat acesta.
Un purtător de cuvânt al Salesforce a afirmat într-un e-mail pentru Reuters că „nu există nicio indicație că problema descrisă provine din vreo vulnerabilitate inerentă platformei noastre”. El a mai spus că apelurile vocale folosite pentru a păcăli angajații „sunt escrocherii de tip inginerie socială, concepute pentru a exploata lacune în conștientizarea securității cibernetice și în aplicarea celor mai bune practici de către utilizatorii individuali”.
Deși purtătorul de cuvânt nu a dezvăluit numărul exact de clienți afectați, acesta a menționat că Salesforce este „conștientă doar de un subset mic de clienți afectați” și că „nu este o problemă răspândită”.
Într-o postare pe blog din martie 2025, Salesforce a avertizat clienții despre atacurile de phishing vocal, cunoscute drept „vishing”, și despre hackeri care abuzează de versiuni modificate și rău intenționate ale Data Loader.
