Hackers usam aplicativo modificado para roubar dados e extorquir empresas, diz Google

Por AJ Vicens

(Reuters) - Hackers estão enganando funcionários de empresas na Europa e nas Américas para que instalem uma versão modificada de um aplicativo relacionado ao Salesforce, permitindo que roubem grandes quantidades de dados, obtenham acesso a outros serviços corporativos em nuvem e chantageiem essas empresas, disse o Google nesta quarta-feira.

Rastreados pelo Grupo de Inteligência de Ameaças do Google como UNC6040, os hackers 'provaram ser particularmente eficazes em enganar os funcionários' para que instalassem uma versão modificada do Data Loader da Salesforce, uma ferramenta proprietária usada para importar dados em massa para os ambientes da Salesforce, disseram os pesquisadores.

Os hackers usam chamadas de voz para induzir funcionários a visitar uma suposta página de configuração do aplicativo conectado do Salesforce para aprovar a versão modificada e não autorizada do aplicativo, criada pelos hackers para emular o Data Loader.

Quando o funcionário instala o aplicativo, os hackers obtêm 'recursos significativos para acessar, consultar e extrair informações confidenciais diretamente dos ambientes comprometidos dos clientes do Salesforce', disseram os pesquisadores.

O acesso também frequentemente dá aos hackers a capacidade de se moverem pela rede de um cliente, permitindo ataques a outros serviços de nuvem e redes corporativas internas.

A infraestrutura técnica vinculada à campanha compartilha características com supostos vínculos com o ecossistema mais amplo e pouco organizado conhecido como 'The Com', com grupos pequenos e díspares que se envolvem em atividades cibercriminosas e, às vezes, violentas, disseram os pesquisadores.

Um porta-voz do Google disse à Reuters que cerca de 20 organizações foram afetadas pela campanha UNC6040, observada nos últimos meses. Um subconjunto dessas organizações teve seus dados exfiltrados com sucesso, disse o porta-voz.

Um porta-voz da Salesforce disse à Reuters em um email que 'não há nenhuma indicação de que o problema descrito seja decorrente de qualquer vulnerabilidade inerente à nossa plataforma'.

Segundo o porta-voz, as chamadas de voz usadas para enganar os funcionários 'são golpes de engenharia social direcionados, projetados para explorar lacunas na conscientização e nas melhores práticas de segurança cibernética de usuários individuais'.

O porta-voz se recusou a compartilhar o número específico de clientes afetados, mas disse que a Salesforce estava 'ciente de apenas um pequeno subconjunto de clientes afetados' e disse que 'não era um problema generalizado'.

A Salesforce alertou os clientes sobre ataques de phishing de voz, ou 'vishing', e sobre hackers que usa, de versões maliciosas e modificadas do Data Loader em uma postagem de blog em março de 2025.

(Reportagem de AJ Vicens em Detroit)