Il Google Threat Intelligence Group ha individuato un nuovo gruppo di cybercriminali, denominato UNC6040, specializzato in attacchi di voice phishing (vishing). Uno di essi è stato effettuato contro i portali Salesforce di varie aziende con lo scopo di rubare dati confidenziali e successivamente chiedere una somma di denaro. Durante i tentativi di estorsione, i cybercriminali affermano di essere affiliati al noto gruppo ShinyHunters.
Descrizione dell’attacco vishing
I cybercriminali usano l’ingegneria sociale per ingannare i dipendenti delle aziende. Effettuano telefonate impersonando il supporto tecnico e convincono l’ignara vittima ad accettare la connessione di una versione modificata di Data Loader, un’applicazione di Salesforce che permette di importare, esportare e aggiornare grandi volumi di dati all’interno della piattaforma Salesforce.
I cybercriminali sfruttano il supporto OAuth di Data Loader per convincere il dipendente ad aprire la pagina di configurazione di Salesforce Connect, in cui inserire un codice di connessione. Ciò consente all’app fasulla di accedere all’ambiente Salesforce dell’azienda.
Dopo aver esfiltrato i dati, il gruppo UNC6040 sfrutta le credenziali degli utenti finali, ottenute tramite credential harvesting o vishing, per muoversi lateralmente attraverso la rete interna. Ciò permette di accedere e rubare dati da altre piattaforme cloud come Okta e Microsoft 365.
Per nascondere la provenienza degli indirizzi IP viene usata Mullvad VPN. Google ha notato che l’infrastruttura usata di cybercriminali condivide alcuni elementi con quella del gruppo The Com, quindi potrebbe esserci un legame. Durante le attività di estorsione (richiesta di denaro) viene però dichiarata l’affiliazione a ShinyHunters.
Salesforce ha confermato che l’accesso è avvenuto tramite ingegneria sociale, non sfruttando una vulnerabilità. L’azienda californiana fornisce utili consigli per limitare i rischi.
Ti potrebbe interessare
5 giu 2025