Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing UNC6040 Grupo Vishing

UNC6040 Grupo Vishing

Por Mezo em Phishing
Traduzir Para:

Pesquisadores de segurança cibernética descobriram um grupo de ameaças com motivação financeira, identificado como UNC6040, que conquistou um nicho em campanhas de phishing de voz (vishing). Esses ataques são projetados especificamente para se infiltrar em ambientes do Salesforce, roubar dados confidenciais em grande escala e usar as informações roubadas para extorsão.

Um rosto familiar: ligações ao coletivo de crimes cibernéticos 'The Com'

As táticas e comportamentos do UNC6040 sugerem vínculos com o The Com, uma rede de crimes cibernéticos online. O grupo também compartilha semelhanças operacionais com o Scattered Spider, outro membro do grupo conhecido por sua personificação de suporte de TI e segmentação de credenciais. No entanto, seus objetivos finais são diferentes: o Scattered Spider busca acesso mais amplo, enquanto o UNC6040 visa exfiltrar dados do Salesforce.

Personificação em Ação: O Modus Operandi do Vishing

O sucesso do grupo decorre do uso de engenharia social telefônica altamente convincente. Ao se passarem por pessoal de suporte de TI, geralmente fluentes em inglês, os operadores do UNC6040 conseguem manipular funcionários para que forneçam credenciais ou realizem ações que facilitem o acesso não autorizado aos sistemas corporativos.

Explorando a confiança: o esquema modificado do carregador de dados do Salesforce

Uma tática de destaque envolve convencer as vítimas a autorizar uma versão modificada do Data Loader da Salesforce, disfarçada sob nomes enganosos como "My Ticket Portal". Isso permite que invasores obtenham acesso à interface do aplicativo conectado da Salesforce, que eles exploram para roubar grandes quantidades de dados de clientes de dentro da plataforma.

Além do Salesforce: Movimento Lateral e Exploração Mais Ampla

Uma vez lá dentro, o UNC6040 não se limita ao Salesforce. Os invasores se movem lateralmente pela rede, coletando dados de outras plataformas de nuvem, como Okta, Workplace e Microsoft 365. Isso permite um comprometimento mais amplo e aumenta o valor das informações roubadas.

Pagamento Atrasado: Táticas Estratégicas de Extorsão

Curiosamente, tentativas de extorsão frequentemente ocorrem meses após o comprometimento inicial, indicando um atraso deliberado e estratégico. Essas demandas às vezes são acompanhadas por alegações de afiliação ao notório grupo de hackers ShinyHunters, uma ação provavelmente destinada a ampliar a pressão psicológica sobre as vítimas.

Recon First: Vishing apoiado por vigilância telefônica automatizada

O UNC6040 também utiliza sistemas telefônicos automatizados com mensagens gravadas e opções de menu para coletar informações de reconhecimento. Esses sistemas revelam números de suporte interno, problemas comuns entre funcionários, nomes de aplicativos e alertas do sistema, informações cruciais para a criação de cenários de vigilância convincentes.

Engenharia social na era do trabalho remoto

O grupo se beneficia da mudança para o suporte remoto de TI, onde os funcionários estão acostumados a interagir com pessoal de suporte desconhecido. Esse ambiente cria condições ideais para engenharia social enganosa, especialmente quando aliada a um amplo reconhecimento.

Resposta da Salesforce e avisos aos clientes

A Salesforce reconheceu os ataques em março de 2025, alertando os clientes sobre campanhas de engenharia social que se passavam por profissionais de TI. Os invasores têm atraído usuários para páginas de phishing ou direcionado-os para login.salesforce[.]com/setup/connect para aprovar aplicativos maliciosos conectados, geralmente versões modificadas do Data Loader sob uma marca enganosa.

Nenhuma vulnerabilidade do sistema: explorando a fraqueza humana

A Salesforce enfatizou que esses incidentes decorreram de manipulação do usuário, e não de vulnerabilidades técnicas em seus sistemas. Os ataques ressaltam como a conscientização individual e a higiene da segurança cibernética continuam sendo linhas de defesa cruciais, especialmente contra golpes de phishing por voz.

Ameaça Persistente: Um Alerta para o Futuro

As táticas empregadas pela UNC6040 demonstram que o vishing continua sendo um método altamente eficaz para violar as defesas corporativas. Dado o atraso entre o acesso inicial e a extorsão, mais organizações podem se ver em risco nas próximas semanas ou meses. Vigilância e controles internos robustos serão essenciais para mitigar essa ameaça em evolução.

Tendendo

Mais visto

Carregando...