HACKERS-Les pirates informatiques utilisent une application Salesforce modifiée pour voler des données et extorquer des entreprises, selon Google information fournie par Reuters 04/06/2025 à 16:25
((Traduction automatisée par Reuters à l'aide de l'apprentissage automatique et de l'IA générative, veuillez vous référer à l'avertissement suivant: https://bit.ly/rtrsauto))
(Mise à jour du paragraphe sept pour inclure une estimation du nombre total d'entreprises touchées.) par AJ Vicens
Des pirates informatiques incitent les employés d'entreprises européennes et américaines à installer une version modifiée d'une application liée à Salesforce, ce qui leur permet de voler des quantités de données, d'accéder à d'autres services en nuage d'entreprises et d'extorquer ces dernières, a déclaré Google mercredi.
Les pirates, identifiés par le Google Threat Intelligence Group sous le nom de UNC6040, se sont révélés particulièrement efficaces pour inciter les employés à installer une version modifiée du Data Loader de Salesforce, un outil propriétaire utilisé pour importer en masse des données dans les environnements Salesforce CRM.N , ont indiqué les chercheurs.
Les pirates utilisent des appels vocaux pour inciter les employés à visiter une page de configuration de l'application connectée Salesforce afin d'approuver la version modifiée et non autorisée de l'application, créée par les pirates pour émuler Data Loader.
Si l'employé installe l'application, les pirates acquièrent "d'importantes capacités d'accès, d'interrogation et d'exfiltration d'informations sensibles directement à partir des environnements clients Salesforce compromis", ont déclaré les chercheurs.
L'accès donne souvent aux pirates la possibilité de se déplacer dans le réseau d'un client, ce qui leur permet d'attaquer d'autres services en nuage et des réseaux d'entreprise internes.
L'infrastructure technique liée à la campagne présente les mêmes caractéristiques que les liens présumés avec l'écosystème plus large et peu organisé connu sous le nom de "The Com", connu pour ses petits groupes disparates se livrant à des activités cybercriminelles et parfois violentes, selon les chercheurs. Un porte-parole de Google GOOGL.O a déclaré à Reuters qu'une vingtaine d'organisations avaient été touchées par la campagne UNC6040, observée au cours des derniers mois. Les données d'un sous-ensemble de ces organisations ont été exfiltrées avec succès, a déclaré le porte-parole.
Un porte-parole de Salesforce a déclaré à Reuters dans un courriel que "rien n'indique que le problème décrit découle d'une vulnérabilité inhérente à notre plateforme." Le porte-parole a déclaré que les appels vocaux utilisés pour tromper les employés "sont des escroqueries ciblées d'ingénierie sociale conçues pour exploiter les lacunes dans la sensibilisation à la cybersécurité et les meilleures pratiques des utilisateurs individuels."
Le porte-parole a refusé de communiquer le nombre précis de clients concernés, mais a déclaré que Salesforce n'avait "connaissance que d'un petit sous-ensemble de clients concernés" et qu'il ne s'agissait pas d'un "problème généralisé." Salesforce a mis en garde ses clients contre les attaques de phishing vocal ou "vishing" et contre les pirates qui utilisent des versions modifiées et malveillantes de Data Loader dans un billet de blog datant du 20 mars 2025.