Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Grup de Vishing UNC6040

Grup de Vishing UNC6040

El Mezo el Phishing
Traduir a:

Investigadors de ciberseguretat han descobert un grup d'amenaces amb motivació financera, identificat com a UNC6040, que s'ha creat un nínxol en campanyes de phishing per veu (vishing). Aquests atacs estan dissenyats específicament per infiltrar-se en entorns de Salesforce, robar dades sensibles a gran escala i aprofitar la informació robada per a l'extorsió.

Una cara familiar: Enllaços al col·lectiu de cibercrims 'The Com'

Les tàctiques i els comportaments d'UNC6040 suggereixen vincles amb The Com, una xarxa de ciberdelinqüència en línia poc definida. El grup també comparteix similituds operatives amb Scattered Spider, un altre actor del col·lectiu conegut per la seva suplantació d'identitat de suport informàtic i la selecció de credencials. Tanmateix, els seus objectius finals difereixen: Scattered Spider busca un accés més ampli, mentre que UNC6040 pretén exfiltrar dades de Salesforce.

Suplantació d’identitat en acció: el modus operandi de Vishing

L'èxit del grup prové del seu ús d'enginyeria social telefònica altament convincent. Fent-se passar per personal de suport informàtic, sovint parlant anglès amb fluïdesa, els operadors de la UNC6040 poden manipular els empleats perquè lliurin credencials o realitzin accions que faciliten l'accés no autoritzat als sistemes corporatius.

Explotació de la confiança: l’esquema modificat del carregador de dades de Salesforce

Una tàctica destacada consisteix a convèncer les víctimes perquè autoritzin una versió modificada del Data Loader de Salesforce, disfressada sota noms enganyosos com ara "El meu portal de tiquets". Això permet als atacants obtenir accés a la interfície de l'aplicació connectada de Salesforce, que exploten per robar grans quantitats de dades dels clients de dins de la plataforma.

Més enllà de Salesforce: moviment lateral i explotació més àmplia

Un cop a dins, UNC6040 no s'atura a Salesforce. Els atacants pivoten lateralment a través de la xarxa, recol·lectant dades d'altres plataformes al núvol com Okta, Workplace i Microsoft 365. Això permet un compromís més ampli i augmenta el valor de la informació robada.

Pagament retardat: tàctiques estratègiques d’extorsió

Curiosament, els intents d'extorsió sovint s'han produït mesos després del compromís inicial, cosa que indica un retard deliberat i estratègic. Aquestes demandes de vegades van acompanyades d'afirmacions d'afiliació amb el conegut grup de pirates informàtics ShinyHunters, una acció probablement destinada a amplificar la pressió psicològica sobre les víctimes.

Recon First: Vishing recolzat per vigilància telefònica automatitzada

UNC6040 també aprofita sistemes telefònics automatitzats amb missatges gravats i opcions de menú per recopilar informació. Aquests sistemes revelen números de suport intern, problemes comuns dels empleats, noms d'aplicacions i alertes del sistema, informació crucial per adaptar escenaris de vishing convincents.

Enginyeria social a l’era del treball remot

El grup es beneficia del canvi cap al suport informàtic remot, on els empleats estan acostumats a interactuar amb personal de suport desconegut. Aquest entorn crea les condicions ideals per a l'enginyeria social enganyosa, sobretot quan es combina amb un reconeixement exhaustiu.

Resposta de Salesforce i avisos als clients

Salesforce va reconèixer els atacs el març del 2025 i va advertir els clients sobre campanyes d'enginyeria social que suplanten la identitat del personal de TI. Els atacants han estat atraient usuaris a pàgines de phishing o dirigint-los a login.salesforce[.]com/setup/connect per aprovar aplicacions connectades malicioses, normalment versions modificades de Data Loader amb marca enganyosa.

Cap vulnerabilitat del sistema: explotació de la debilitat humana

Salesforce va emfatitzar que aquests incidents van sorgir de la manipulació dels usuaris, no de cap vulnerabilitat tècnica en els seus sistemes. Els atacs subratllen com la consciència individual i la higiene de la ciberseguretat continuen sent línies de defensa crítiques, especialment contra les estafes de phishing de veu.

Amenaça persistent: un avís per al futur

Les tàctiques emprades per UNC6040 mostren que el vishing continua sent un mètode altament eficaç per violar les defenses de l'empresa. Donat el retard entre l'accés inicial i l'extorsió, més organitzacions podrien trobar-se en risc en les properes setmanes o mesos. La vigilància i els controls interns robustos seran clau per mitigar aquesta amenaça en evolució.

Tendència

Més vist

Carregant...