Phishing por voz contra instancias de Salesforce

El grupo UNC6040 ha iniciado una nueva campaña con su espacialidad, el phishing por voz (vishing). Según Google Threat Intelligence Group (GTIG), la campaña tiene como objetivo Salesforce, aunque desde el grupo de inteligencia de Google señalan que no está explotando ninguna vulnerabilidad presente en la herramienta, sino que se basa en la manipulación de los usuarios.

La campaña está operando en América y en Europa. Arranca con una llamada, en la que se hacen pasar por el servicio de asistencia telefónica de Salesforce e intentan engañar a los empleados para que instalen aplicaciones modificadas que se conectan a Salesforce. Al parecer, suelen incorporar variantes de Data Loader, lo que les da acceso a los datos confidenciales de la víctima.

Además, después de ese primer acceso pueden realizar movimientos laterales, lo que les puede dar acceso a otros servicios en la nube de la compañía atacada, así como a sus redes corporativas internas. La campaña, que empezó hace meses, sigue activa, aunque por el momento su impacto bastante limitado: las estimaciones de GTIG son que ha afectado a 20 compañías.

Más allá de ese robo puntual de información, meses después se intenta extorsionar a los afectados. Según señalan desde Google, “se ha observado que UNC6040 afirma estar afiliado a grupos como ShinyHunters en los intentos de extorsión, probablemente para aumentar la presión sobre las víctimas”. Además, se han observado coincidencias con el colectivo de ciberdelincuentes “The Com”, así como partes de phishing de Okta.