Ciberdelincuentes utilizan un cargador de datos de Salesforce modificado para robar datos
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha descubierto un grupo de ciberdelincuentes, rastreado como UNC6040, que utiliza el phishing de voz sofisticado para engañar a los empleados a instalar un cargador de datos de Salesforce modificado. Esto les permite robar grandes cantidades de datos confidenciales de aproximadamente 20 organizaciones en varios sectores de América y Europa. Los atacantes se hacen pasar por el soporte de TI, guiando a las víctimas a través del proceso de conexión para vincular el cargador de datos malicioso. Después de la exfiltración de datos de Salesforce, UNC6040 a menudo se mueve lateralmente a través de la red, accediendo y robando datos de otras plataformas como Okta, Workplace y Microsoft 365. En algunos casos, los intentos de extorsión siguieron meses después, lo que sugiere posibles asociaciones con otros actores de amenazas. Salesforce ha emitido una guía para ayudar a los clientes a protegerse contra ataques similares.