Des cybercriminels utilisent un chargeur de données Salesforce modifié pour voler des données
Le Google Threat Intelligence Group (GTIG) a découvert un groupe de cybercriminels, suivi sous le nom de UNC6040, qui utilise le phishing vocal sophistiqué pour inciter les employés à installer une version modifiée du chargeur de données Salesforce. Cela leur permet de voler de grandes quantités de données sensibles auprès d'environ 20 organisations dans divers secteurs des Amériques et de l'Europe. Les attaquants se font passer pour le support informatique, guidant les victimes tout au long du processus de connexion pour lier le chargeur de données malveillant. Après l'exfiltration des données de Salesforce, UNC6040 se déplace souvent latéralement sur le réseau, accédant et volant des données d'autres plateformes telles qu'Okta, Workplace et Microsoft 365. Dans certains cas, des tentatives d'extorsion ont suivi des mois plus tard, suggérant des partenariats potentiels avec d'autres acteurs de menaces. Salesforce a publié des conseils pour aider les clients à se protéger contre des attaques similaires.