Hackerii folosesc o versiune modificată a aplicației Salesforce ca să păcălească angajații și să șantajeze companiile, avertizează Google

Grupuri de hackeri au dezvoltat o metodă sofisticată prin care păcălesc angajații unor companii din Europa și America să instaleze o versiune modificată a unei aplicații legate de Salesforce, permițând astfel infractorilor să fure volume mari de date, să obțină acces la alte servicii cloud corporative și să șantajeze companiile vizate, a anunțat Google, miercuri.

Cum funcționează atacul

Potrivit cercetătorilor din cadrul Google Threat Intelligence Group, grupul de hackeri identificat sub denumirea UNC6040 este „deosebit de eficient în a păcăli angajații” să instaleze o versiune modificată a Data Loader, un instrument proprietar Salesforce folosit pentru importul în masă de date în mediile Salesforce.

Hackerii folosesc apeluri telefonice pentru a convinge angajații să acceseze o pagină falsă de configurare a unei aplicații conectate Salesforce, unde sunt rugați să aprobe instalarea acestei versiuni neautorizate, care imită Data Loader-ul original, scrie CNN.

Cum „fentează” producătorii de țigări electronice din China tarifele lui Trump

22:00

China joacă dur cu metalele rare: industria auto din Europa, tot mai vulnerabilă

21:30

Odată instalată aplicația, atacatorii obțin „capacități semnificative de a accesa, interoga și extrage informații sensibile direct din mediile compromise ale clienților Salesforce,” au explicat cercetătorii.

Accesul obținut le permite adesea hackerilor să se deplaseze liber în rețeaua clientului, facilitând astfel atacuri asupra altor servicii cloud și rețele interne corporative.

Legături cu grupări criminale cunoscute

Infrastructura tehnică asociată acestei campanii prezintă caracteristici similare cu cele ale ecosistemului cunoscut sub numele „The Com,” un grup larg, format din mici grupuri disparate implicate în activități cibernetice infracționale și, uneori, violente, au mai precizat cercetătorii.

Impactul asupra companiilor

Un purtător de cuvânt al Google a declarat pentru Reuters că aproximativ 20 de organizații au fost afectate de campania UNC6040, observată în ultimele luni. Din acestea, un subset a suferit pierderi de date prin extragere neautorizată.

Reprezentanții Salesforce au transmis prin email că „nu există indicii că problema descrisă ar proveni dintr-o vulnerabilitate inerentă platformei noastre.” Ei au subliniat că apelurile telefonice folosite pentru a păcăli angajații sunt „scamuri de inginerie socială bine țintite, concepute pentru a exploata lipsuri în conștientizarea securității cibernetice și bunele practici ale utilizatorilor individuali.”

De asemenea, reprezentanții Salesforce au refuzat să ofere un număr exact al clienților afectați, menționând că sunt conștienți doar de un „subset mic” de clienți afectați și că „nu este o problemă răspândită.”

Într-un articol publicat pe blogul oficial în martie 2025, Salesforce a avertizat clienții cu privire la atacurile de tip phishing vocal („vishing”) și la abuzul hackerilor de versiuni modificate malițios ale Data Loader.