Поддельные звонки в службу IT-поддержки затронули 20 организаций и закончились кражей данных

Группа кибермошенников, специализирующихся на фальшивых телефонных звонках в службу IT-поддержки, напоминающих Scattered-Spider, сумела обмануть сотрудников примерно в 20 организациях. Их заставили установить модифицированную версию Salesforce Data Loader, которая позволяет преступникам красть конфиденциальные данные.

Группа Google Threat Intelligence Group (GTIG) отслеживает эту команду как UNC6040. В опубликованном исследовании говорится, что хакеры специализируются на кампаниях голосового фишинга, нацеленных на экземпляры Salesforce, для масштабной кражи данных и вымогательства.

Эти атаки начались примерно в начале года, сообщил главный аналитик по угрозам GTIG Остин Ларсен. «Наша текущая оценка показывает, что в рамках этой кампании пострадало ограниченное количество организаций, около 20. Мы видели, что UNC6040 была нацелена на гостиничный бизнес, розничную торговлю, образование и различные другие секторы в Америке и Европе», — сказал он. 

Преступники выдавали себя за сотрудников техподдержки и убеждали работников англоязычных филиалов многонациональных корпораций загрузить модифицированную версию Data Loader. Это приложение Salesforce, которое позволяет пользователям экспортировать и обновлять большие объёмы данных.

«GTIG выявила некоторые совпадения между UNC6040 и деятельностью, связанной с подпольным сообществом The Com, которое включает такие группы угроз, как Scattered Spider», — отметил Ларсен. 

Во время телефонных звонков с использованием социальной инженерии мошенники убеждают жертв открыть страницу настройки подключения Salesforce — эта функция позволяет другим приложениям интегрироваться с Salesforce и обмениваться данными. На странице настройки пользователю предлагается ввести восьмизначный код подключения