Ameaça UNC6040 explora engenharia social para roubar dados de empresas

O Google, por meio de seu Threat Intelligence Group (GTIG), revelou ataques sofisticados conduzidos por um grupo identificado como UNC6040, que tem utilizado engenharia social para comprometer ambientes corporativos que utilizam a plataforma Salesforce. A operação envolve ligações telefônicas de phishing (vishing), onde os atacantes se passam por profissionais de suporte técnico para convencer funcionários a conectar uma versão adulterada do aplicativo Salesforce Data Loader, permitindo o acesso direto a grandes volumes de dados.

Uma vez estabelecida a conexão com o ambiente da vítima, os criminosos utilizam o Data Loader para extrair dados sensíveis armazenados no Salesforce e, a partir daí, movem-se lateralmente por outras plataformas integradas, como Okta, Microsoft 365 e Workplace. Esse acesso cruzado amplia significativamente o impacto do ataque, permitindo a coleta de documentos, credenciais, tokens de autenticação e comunicações internas. Em diversos casos, os criminosos disfarçaram o aplicativo malicioso com nomes como “My Ticket Portal” para tornar o golpe mais convincente.

Os ataques são atribuídos a agentes financeiros que, após a exfiltração dos dados, iniciam processos de extorsão, muitas vezes semanas ou meses após a invasão. Em alguns incidentes, os criminosos alegaram ligação com o grupo ShinyHunters, conhecido por grandes vazamentos de dados, como o caso da Snowflake e da PowerSchool. A tática parece ter o objetivo de aumentar a pressão psicológica sobre as vítimas e forçar o pagamento de resgates.

Esse tipo de ataque reforça a necessidade de reforçar a conscientização sobre engenharia social no ambiente corporativo, especialmente em setores que utilizam plataformas em nuvem com grande volume de dados sensíveis. É essencial restringir permissões como “API Enabled”, limitar a instalação de apps de terceiros e bloquear conexões de VPNs comerciais como o Mullvad. Além disso, investir em treinamentos frequentes e habilitar autenticação multifator são medidas que podem evitar que colaboradores sejam enganados em situações de pressão ou urgência simulada.

Fonte: https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/