mao humana segurando o telefone mostrando o codigo de seguranca para redefinir a senha 488220 60893

O Google Threat Intelligence Group identificou um grupo de criminosos cibernéticos denominado UNC6040 que conseguiu enganar funcionários de aproximadamente 20 organizações para instalar uma versão modificada do Data Loader da Salesforce, permitindo a extração de dados. O grupo especializa-se em campanhas de phishing por voz direcionadas a instâncias do Salesforce para roubo de dados em larga escala e extorsão. Os ataques começaram no início deste ano e têm como alvos setores de hotelaria, varejo, educação e outros nas Américas e Europa.

Os criminosos demonstram alta habilidade em se passar por pessoal de suporte de TI, convencendo funcionários de filiais de empresas multinacionais a baixar uma versão modificada do Data Loader, aplicativo da Salesforce que permite exportar e atualizar grandes quantidades de dados. Embora as táticas sejam similares às utilizadas pelo grupo Scattered Spider, o UNC6040 é considerado uma organização distinta, apesar de algumas sobreposições com a comunidade underground conhecida como The Com.

Durante as chamadas de engenharia social, os criminosos persuadem as vítimas a abrir a página de configuração de conexão do Salesforce, fingindo ser suporte de TI. Esta funcionalidade permite que outros aplicativos se integrem ao Salesforce e compartilhem dados. A página solicita um código de conexão de oito dígitos para conectar aplicativos de terceiros, que o UNC6040 fornece por telefone, vinculando o Data Loader controlado pelos atacantes ao ambiente Salesforce da vítima. A infraestrutura do grupo também hospeda um painel de phishing do Okta usado para enganar vítimas através de seus telefones celulares ou computadores de trabalho.

Após a extração inicial dos dados do Salesforce, o UNC6040 às vezes realiza movimento lateral através da rede, acessando e extraindo informações de outras plataformas incluindo Okta, Workplace e Microsoft 365. Em alguns casos, a extorsão ocorre vários meses após a invasão inicial, sugerindo possível parceria com outros criminosos para monetizar o acesso aos dados roubados. A Salesforce publicou orientações em março sobre como os clientes podem proteger seus ambientes contra esses tipos de ataques envolvendo chamadas telefônicas de falso pessoal de TI.

Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.

Com informações do The Register

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

6 de Junho, 2025

Criminosos cibernéticos enganam 20 empresas com falso suporte de TI

Quer ficar por dentro das ultimas notícias na área?

Posts recentes