Dados de clientes do Google foram acessados por pouco tempo

“Em junho, uma das instâncias corporativas da Salesforce do Google foi impactada por uma atividade semelhante à UNC6040 descrita nesta publicação. O Google respondeu à atividade, realizou uma análise de impacto e iniciou medidas de mitigação”, disse a empresa em comunicado.

Segundo a empresa, os invasores tiveram acesso aos dados por um breve período antes de serem impedidos. As informações obtidas eram básicas e, em grande parte, públicas, incluindo nomes comerciais e dados de contato de empresas. Além do Google, empresas como Adidas, Allianz Life, Cisco, Dior e Louis Vuitton também foram afetadas.

Grupo UNC6040: o que é?

O UNC6040 é um grupo de cibercrime com motivações financeiras, especializado em sofisticadas campanhas de phishing por voz (vishing) voltadas para ambientes corporativos que utilizam o Salesforce.

O grupo se apresenta como equipe de suporte de TI por telefone (vishing), engana funcionários e os induz a autorizar um aplicativo fraudulento no Salesforce, geralmente uma versão modificada do Data Loader, muitas vezes disfarçada como “My Ticket Portal”.

As vítimas são induzidas a navegar até a página oficial de conexão do Salesforce (login.salesforce.com/setup/connect) e inserir um código de conexão — o que dá permissão ao aplicativo malicioso via OAuth.

Relações com outros grupos

Similaridades com outros grupos cibercriminosos:

O UNC6040 compartilha semelhanças táticas com o grupo Scattered Spider e outros ligados ao coletivo cibercriminoso conhecido como The Com, apesar de possuir identidade própria dentro desse ecossistema

Comunidade colaborativa:

Há indícios de sobreposição de infraestrutura e técnicas com outros atores dentro desse coletivo, o que sugere um nível de cooperação ou compartilhamento de recursos entre grupos

Caro leitor,

O acesso ao conteúdo será liberado imediatamente após o anúncio.

Por favor, aguarde