Ameaça UNC6040 explora engenharia social para roubar dados de empresas
O Google, por meio de seu Threat Intelligence Group (GTIG), revelou ataques sofisticados conduzidos por um grupo identificado como UNC6040, que tem utilizado engenharia social para comprometer ambientes corporativos que utilizam a plataforma Salesforce. A operação envolve ligações telefônicas de phishing (vishing), onde os atacantes se passam por profissionais de suporte técnico para convencer funcionários a conectar uma versão adulterada do aplicativo Salesforce Data Loader, permitindo o acesso direto a grandes volumes de dados.
Uma vez estabelecida a conexão com o ambiente da vítima, os criminosos utilizam o Data Loader para extrair dados sensíveis armazenados no Salesforce e, a partir daí, movem-se lateralmente por outras plataformas integradas, como Okta, Microsoft 365 e Workplace. Esse acesso cruzado amplia significativamente o impacto do ataque, permitindo a coleta de documentos, credenciais, tokens de autenticação e comunicações internas. Em diversos casos, os criminosos disfarçaram o aplicativo malicioso com nomes como “My Ticket Portal” para tornar o golpe mais convincente.
Os ataques são atribuídos a agentes financeiros que, após a exfiltração dos dados, iniciam processos de extorsão, muitas vezes semanas ou meses após a invasão. Em alguns incidentes, os criminosos alegaram ligação com o grupo ShinyHunters, conhecido por grandes vazamentos de dados, como o caso da Snowflake e da PowerSchool. A tática parece ter o objetivo de aumentar a pressão psicológica sobre as vítimas e forçar o pagamento de resgates.
Esse tipo de ataque reforça a necessidade de reforçar a conscientização sobre engenharia social no ambiente corporativo, especialmente em setores que utilizam plataformas em nuvem com grande volume de dados sensíveis. É essencial restringir permissões como “API Enabled”, limitar a instalação de apps de terceiros e bloquear conexões de VPNs comerciais como o Mullvad. Além disso, investir em treinamentos frequentes e habilitar autenticação multifator são medidas que podem evitar que colaboradores sejam enganados em situações de pressão ou urgência simulada.
Fonte: https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/
Outras Postagens
-
Google entra na Justiça para derrubar plataforma chinesa usada em golpes de pedágio e entregas falsas
12 de Novembro de 2025
Google processa a plataforma chinesa Lighthouse para derrubar uma operação global de smishing que imita serviços de entrega e pedágio para roubar dados e cartões de vítimas.
>> Ler mais -
175 pacotes npm maliciosos com 26.000 downloads usados em campanha de phishing de credenciais
10 de Setembro de 2025
Campanha Beamglea usou 175 pacotes maliciosos no npm e o CDN unpkg para hospedar scripts que redirecionam vítimas a páginas de phishing que roubam credenciais.
>> Ler mais -
Falsos sites de ajuda do macOS espalham o ladrão de informações SHAMOS por meio de malvertising
25 de Agosto de 2025
Sites falsos de suporte ao macOS espalharam o infostealer SHAMOS em uma campanha global de malvertising entre junho e agosto de 2025.
>> Ler mais - Ver todas as postagens