Il Google Threat Intelligence Group ha identificato un nuovo attacco informatico condotto tramite vishing, una tecnica di phishing telefonico. A essere presi di mira sono stati diversi account aziendali Salesforce, con l’obiettivo di esfiltrare dati sensibili da ambienti cloud e avviare successivamente richieste di estorsione. L’autore degli attacchi è un gruppo chiamato UNC6040, che ha finto di essere affiliato a ShinyHunters, noto collettivo di cybercriminali. Si tratta dunque di un problema molto grave che sta interessando il colosso e soprattutto le aziende che hanno un account.
Come funziona il vishing contro Salesforce
L’attacco si basa su un’articolata strategia di ingegneria sociale. I criminali contattano telefonicamente i dipendenti aziendali spacciandosi per operatori del supporto tecnico, convincendoli a scaricare una versione alterata di Data Loader, lo strumento ufficiale di Salesforce per la gestione massiva di dati. Attraverso l’integrazione OAuth, i truffatori riescono a far inserire un codice di connessione nel pannello di configurazione di Salesforce Connect, consentendo all’app modificata di ottenere accesso completo al sistema.
Una volta dentro, i dati aziendali vengono esfiltrati e il gruppo ottiene le credenziali di altri utenti, muovendosi lateralmente nella rete per accedere anche a piattaforme cloud esterne come Microsoft 365 e Okta.
Strumenti usati, obiettivi e risposta delle aziende
Per evitare il tracciamento, UNC6040 utilizza Mullvad VPN. Alcuni elementi dell’infrastruttura impiegata mostrano somiglianze con quelle usate dal gruppo The Com, lasciando ipotizzare un collegamento diretto o indiretto. Durante le fasi di extortion, i cybercriminali dichiarano l’appartenenza a ShinyHunters, anche se le fonti non confermano ufficialmente l’affiliazione.
Salesforce ha confermato che non sono state sfruttate vulnerabilità del software, ma che l’accesso è avvenuto tramite raggiro umano. L’azienda ha già diffuso una serie di indicazioni per mitigare i rischi, invitando a formare il personale sui pericoli dell’ingegneria sociale, a utilizzare sistemi di autenticazione robusta e a monitorare accessi sospetti alla rete aziendale.
