Bilgisayar korsanları, Avrupa ve Amerika şirketlerindeki çalışanları, Salesforce ile ilgili bir uygulamanın değiştirilmiş bir versiyonunu yüklemeye kandırıyor ve bilgisayar korsanlarının veri toplamalarını çalmasına, diğer kurumsal bulut hizmetlerine erişmesine ve bu şirketleri zorlamasına izin veriyor.
Araştırmacılar, Google Tehdit İstihbarat Grubu tarafından UNC6040 olarak izlenen bilgisayar korsanlarının, Salesforce ortamlarına içe aktarmak için kullanılan tescilli bir araç olan Salesforce’un veri yükleyicisinin değiştirilmiş bir sürümünü yüklemek için “çalışanları kandırmada özellikle etkili” olduğunu kanıtladıklarını söyledi.
Bilgisayar korsanları, veri yükleyicisini taklit etmek için bilgisayar korsanları tarafından oluşturulan uygulamanın yetkisiz, değiştirilmiş sürümünü onaylamak için çalışanları Salesporce bağlı uygulama kurulum sayfasını ziyaret etmek için kandırmak için sesli çağrılar kullanır.
Çalışan uygulamayı yüklüyorsa, bilgisayar korsanları “hassas bilgileri doğrudan tehlikeye atılan Salesforce müşteri ortamlarından doğrudan erişmek, sorgulamak ve sunmak için önemli yetenekler kazanırlar” dedi.
Erişim ayrıca bilgisayar korsanlarına bir müşterinin ağı boyunca hareket etme olanağı ve diğer bulut hizmetlerine ve dahili kurumsal ağlara saldırı sağlama olanağı verir.
Araştırmacılar, kampanyaya bağlı teknik altyapının, siber suçlu ve bazen şiddetli faaliyetlerde bulunan küçük, farklı gruplar için bilinen “COM” olarak bilinen daha geniş ve gevşek organize ekosisteme şüpheli bağlarla paylaştıklarını söyledi.
Bir Google sözcüsü anlattı Reuters Yaklaşık 20 kuruluşun son birkaç aydır gözlemlenen UNC6040 kampanyasından etkilenmesi.
Sözcü, bu kuruluşların bir alt kümesinin verileri başarıyla açıkladığını söyledi.
Bir Salesforce sözcüsü Reuters “Açıklanan sorunun platformumuzun doğasında var olan herhangi bir güvenlik açığından kaynaklandığına dair bir gösterge yok” e e -postada.
Sözcü, çalışanları kandırmak için kullanılan sesli çağrıların “bireysel kullanıcıların siber güvenlik farkındalığındaki ve en iyi uygulamalardaki boşluklardan yararlanmak için tasarlanmış sosyal mühendislik dolandırıcılığı” olduğunu söyledi.
Sözcü, etkilenen müşterileri paylaşmayı reddetti, ancak Salesforce’un “sadece etkilenen müşterilerin sadece küçük bir alt kümesinin farkında olduğunu” söyledi ve bunun “yaygın bir sorun olmadığını” söyledi.
Salesforce, müşterileri bir Mart 2025 blog yazısında Veri Yükleyicisinin kötü niyetli, değiştirilmiş sürümlerini kötüye kullanan sesli kimlik avı veya “vishing”, saldırılar ve bilgisayar korsanları konusunda uyardı.