UNC6040 explora engenharia social por vishing e implanta aplicativo malicioso no Salesforce para roubar dados de usuários

Em um alerta recente, o Google expôs as operações de um grupo de hackers identificado como UNC6040, especializado em sofisticadas campanhas de phishing de voz (vishing) voltadas para comprometer instâncias do Salesforce, uma das principais plataformas de gerenciamento de relacionamento com clientes (CRM).

Com motivação financeira, o grupo utiliza táticas de engenharia social para enganar funcionários, obter credenciais e realizar roubo de dados em larga escala, muitas vezes seguido de extorsão. A atividade do UNC6040, segundo o Google, apresenta semelhanças com o coletivo de crimes cibernéticos conhecido como The Com, incluindo o uso de estratégias semelhantes às do grupo Scattered Spider.

De acordo com o Threat Intelligence Group (GTIG) do Google, o UNC6040 tem se destacado por sua habilidade em conduzir ataques convincentes, nos quais seus operadores se passam por equipes de suporte de TI em chamadas telefônicas.

Durante essas interações, os hackers induzem funcionários a realizar ações que comprometem a segurança, como compartilhar credenciais ou aprovar aplicativos maliciosos. Um dos métodos centrais do grupo envolve uma versão modificada do aplicativo Data Loader, ferramenta legítima do Salesforce usada para gerenciar grandes quantidades de dados.

Os invasores enganam as vítimas para que autorizem uma versão falsificada do aplicativo, frequentemente renomeada como “My Ticket Portal”, que concede acesso não autorizado aos ambientes Salesforce das organizações-alvo.

Uma vez dentro do sistema, os hackers do UNC6040 não se limitam ao Salesforce. Eles utilizam o acesso inicial para se mover lateralmente pelas redes das vítimas, comprometendo outras plataformas como Okta, Workplace e Microsoft 365. Em alguns casos, meses após a invasão inicial, o grupo inicia campanhas de extorsão, exigindo resgates para não vazar os dados roubados.

O Google observou que, durante essas tentativas, os hackers alegam afiliação ao conhecido grupo ShinyHunters, possivelmente para intensificar a pressão sobre as vítimas. A Mandiant, empresa de cibersegurança adquirida pelo Google, destacou que, enquanto o Scattered Spider foca na obtenção de amplo acesso à rede, o UNC6040 concentra-se no roubo direcionado de dados do Salesforce, evidenciando a diversidade de riscos associados ao vishing.

Os ataques do UNC6040 também se valem de sistemas telefônicos automatizados com mensagens pré-gravadas e menus interativos, permitindo que os hackers coletem informações adicionais sobre suas vítimas, como problemas técnicos comuns, nomes de aplicativos internos e contatos de equipes de suporte.

Essa prática de reconhecimento prévio, segundo Nick Guttilla, da equipe de Resposta a Incidentes da Mandiant, é essencial para o sucesso das campanhas de engenharia social. A normalização de interações remotas com equipes de TI terceirizadas, especialmente em um contexto de trabalho híbrido, tem facilitado a exploração dessas vulnerabilidades humanas.

A Salesforce, ciente da ameaça, emitiu um comunicado em março de 2025 alertando sobre hackers que se passam por suporte técnico para induzir funcionários a acessar páginas de phishing ou aprovar aplicativos maliciosos. A empresa enfatizou que os incidentes relatados resultam de manipulação de usuários, e não de vulnerabilidades em sua plataforma. “A segurança é uma responsabilidade compartilhada”, afirmou a Salesforce, destacando que oferece ferramentas como autenticação multifator (MFA) e restrições de IP para proteger seus clientes.

A empresa também disponibilizou um guia detalhado em seu blog:

(https://www.salesforce.com/blog/protect-against-social-engineering/) com recomendações para mitigar riscos de engenharia social.

O Google alertou que o sucesso contínuo dessas campanhas demonstra a eficácia do vishing como vetor de ataque para grupos hackers com motivações financeiras. A demora entre a invasão inicial e as tentativas de extorsão sugere que mais organizações podem enfrentar demandas de resgate nas próximas semanas ou meses.

Especialistas recomendam que empresas reforcem treinamentos de conscientização em cibersegurança, implementem autenticação multifator e monitorem atividades suspeitas em suas plataformas para mitigar esses riscos. A sofisticação crescente dessas operações reforça a necessidade de uma abordagem proativa para proteger dados sensíveis em ambientes corporativos.

Via - THN