El Grupo de Inteligencia de Amenazas de Google identificó un grupo de ciberdelincuentes denominado UNC6040 que logró engañar a empleados de aproximadamente 20 organizaciones para que instalaran una versión modificada del Data Loader de Salesforce — una herramienta que permite exportar y actualizar grandes volúmenes de datos —, posibilitando así la extracción de información. El grupo se especializa en campañas de phishing por voz dirigidas a instancias de Salesforce para el robo de datos a gran escala y la extorsión. Los ataques comenzaron a principios de este año y tienen como objetivos los sectores de hostelería, comercio minorista, educación y otros, en América y Europa.
Los delincuentes demuestran una gran habilidad para hacerse pasar por personal de soporte de TI, convenciendo a empleados de filiales de empresas multinacionales para que descarguen la versión modificada del Data Loader. Aunque sus tácticas son similares a las utilizadas por el grupo Scattered Spider, UNC6040 se considera una organización distinta, a pesar de algunas coincidencias con la comunidad clandestina conocida como The Com.
Durante las llamadas de ingeniería social, los delincuentes se hacen pasar por soporte de TI y persuaden a las víctimas para que abran la página de configuración de conexión de Salesforce, fingiendo ser personal de soporte. Esta funcionalidad permite que otras aplicaciones se integren con Salesforce y compartan datos. La página solicita un código de conexión de ocho dígitos para vincular aplicaciones de terceros, que UNC6040 facilita por teléfono, conectando así su Data Loader controlado por los atacantes al entorno Salesforce de la víctima. La infraestructura del grupo también aloja un panel de phishing de Okta utilizado para engañar a las víctimas a través de sus teléfonos móviles o equipos de trabajo.
Tras la extracción inicial de datos de Salesforce, UNC6040 en ocasiones realiza movimiento lateral a través de la red, accediendo y extrayendo información de otras plataformas, incluidas Okta, Workplace y Microsoft 365. En algunos casos, la extorsión ocurre varios meses después de la intrusión inicial, lo que sugiere una posible colaboración con otros actores delictivos para monetizar el acceso a los datos robados. Salesforce publicó en marzo orientaciones sobre cómo los clientes pueden proteger sus entornos contra este tipo de ataques que involucran llamadas telefónicas de falso personal de TI.
Esta publicación fue traducida y resumida a partir de su versión original con el uso de IA, con revisión humana.
Con información de The Register