Cyberkriminelle nutzen modifizierten Salesforce Data Loader zum Datendiebstahl
Die Google Threat Intelligence Group (GTIG) hat eine Gruppe von Cyberkriminellen entdeckt, die unter dem Namen UNC6040 verfolgt werden und ausgeklügeltes Voice-Phishing einsetzen, um Mitarbeiter dazu zu bringen, eine modifizierte Version des Salesforce Data Loaders zu installieren. Dies ermöglicht es ihnen, große Mengen an sensiblen Daten von ungefähr 20 Organisationen in verschiedenen Sektoren in Amerika und Europa zu stehlen. Die Angreifer geben sich als IT-Support aus und führen die Opfer durch den Verbindungsprozess, um den bösartigen Data Loader zu verknüpfen. Nach der Datenexfiltration aus Salesforce bewegt sich UNC6040 oft seitwärts durch das Netzwerk und greift auf andere Plattformen wie Okta, Workplace und Microsoft 365 zu und stiehlt Daten von dort. In einigen Fällen folgten Monate später Erpressungsversuche, was auf mögliche Partnerschaften mit anderen Bedrohungsakteuren hindeutet. Salesforce hat Anleitungen veröffentlicht, um Kunden beim Schutz vor ähnlichen Angriffen zu helfen.