Llamadas fraudulentas de soporte técnico provocan extorsión cibernética y robo de datos empresariales.
Hackers están engañando a empleados para que descarguen software malicioso.
Un reciente informe del Grupo de Inteligencia de Amenazas de Google ha alertado sobre una campaña de vishing en curso, donde actores maliciosos se hacen pasar por soporte técnico de IT para engañar a empleados de diversas empresas. Hasta ahora, alrededor de 20 organizaciones han sufrido pérdidas de datos como resultado de este ataque, que utiliza aplicaciones falsas de Salesforce para robar información sensible.
La amenaza, conocida como UNC6040, ha estado activa durante varios meses, dirigiéndose principalmente a empresas del sector de la hospitalidad, retail, educación y otros. Los atacantes realizan llamadas telefónicas a estas organizaciones, haciéndose pasar por personal de soporte IT, para persuadir a los empleados a descargar e instalar una versión comprometida de Salesforce Data Loader. Esta aplicación, comúnmente utilizada por administradores y desarrolladores para manejar grandes volúmenes de datos, permite importar, exportar, actualizar, eliminar o insertar información en Salesforce.
Una vez instalada, el software malicioso le otorga a UNC6040 "capacidades significativas" para acceder y exfiltrar información sensible directamente desde los entornos de clientes de Salesforce comprometidos. Se observó que pueden pasar meses entre el robo de datos y el contacto con la víctima para extorsionarla, lo que sugiere que las operaciones de robo y negociación podrían estar divididas entre diferentes grupos delictivos. Históricamente, UNC6040 ha manifestado vínculos con colectivos como ShinyHunters y podría formar parte de "The Com", una red de cibercriminales interconectados, incluyendo a otros grupos notorios como Scattered Spider.
Google subrayó que en todas las instancias analizadas, los atacantes dependieron de técnicas de manipulación y engaño, enfocándose en las personas en lugar de buscar vulnerabilidades en el sistema de Salesforce, que no fueron identificadas ni utilizadas en esta campaña. Por lo tanto, la mejor estrategia de defensa contra estas y otras amenazas similares sería educar a los empleados sobre los peligros del phishing y sus variantes, como el smishing y el vishing.