Os hackers usam chamadas de voz para induzir funcionários a visitar uma suposta página de configuração do aplicativo conectado do Salesforce para aprovar a versão modificada e não autorizada do aplicativo, criada pelos hackers para emular o Data Loader.
Quando o funcionário instala o aplicativo, os hackers obtêm “recursos significativos para acessar, consultar e extrair informações confidenciais diretamente dos ambientes comprometidos dos clientes do Salesforce”, disseram os pesquisadores.
O acesso também frequentemente dá aos hackers a capacidade de se moverem pela rede de um cliente, permitindo ataques a outros serviços de nuvem e redes corporativas internas.
A infraestrutura técnica vinculada à campanha compartilha características com supostos vínculos com o ecossistema mais amplo e pouco organizado conhecido como “The Com”, com grupos pequenos e díspares que se envolvem em atividades cibercriminosas e, às vezes, violentas, disseram os pesquisadores.
Um porta-voz do Google disse à Reuters que cerca de 20 organizações foram afetadas pela campanha UNC6040, observada nos últimos meses. Um subconjunto dessas organizações teve seus dados exfiltrados com sucesso, disse o porta-voz.
Um porta-voz da Salesforce disse à Reuters em um email que “não há nenhuma indicação de que o problema descrito seja decorrente de qualquer vulnerabilidade inerente à nossa plataforma”.
Deixe um comentário