مُجرمون إلكترونيون يستخدمون مُحمِّل بيانات Salesforce مُعدَّل لسرقة البيانات
اكتشفت مجموعة استخبارات التهديدات في جوجل (GTIG) مجموعة من مجرمي الإنترنت، تُعرف باسم UNC6040، تستخدم خدعة التصيد الصوتي المُحكم لإقناع الموظفين بتثبيت مُحمِّل بيانات Salesforce مُعدَّل. يسمح لهم هذا بسرقة كميات كبيرة من البيانات الحساسة من حوالي 20 منظمة في قطاعات مختلفة في الأمريكتين وأوروبا. يتظاهر المهاجمون بأنهم من فريق دعم تكنولوجيا المعلومات، ويهدون الضحايا خلال عملية الاتصال لربط مُحمِّل البيانات الخبيث. بعد استخراج البيانات من Salesforce، يتحرك UNC6040 غالبًا بشكل جانبي عبر الشبكة، ويدخل إلى بيانات أخرى ويسرقها من منصات أخرى مثل Okta وWorkplace وMicrosoft 365. في بعض الحالات، تلت ذلك محاولات ابتزاز بعد مرور أشهر، مما يشير إلى شراكات محتملة مع جهات تهديد أخرى. أصدرت Salesforce إرشادات لمساعدة العملاء على حماية أنفسهم من هجمات مماثلة.