เตือนภัย! แฮกเกอร์ปลอมเป็น IT Support หลอกติดตั้งแอปปลอมขโมยข้อมูล Salesforce

Google Threat Intelligence Group (GTIG) เผยข้อมูลกลุ่มอาชญากรไซเบอร์ที่มีชื่อว่า UNC6040 ซึ่งอยู่เบื้องหลังการโจมตีแบบ Voice Phishing โดยแอบอ้างเป็นเจ้าหน้าที่ IT Support โทรศัพท์หลอกพนักงานขององค์กรกว่า 20 แห่ง ให้ติดตั้งโปรแกรม Salesforce Data Loader ปลอม เพื่อดูดข้อมูลสำคัญออกไปจากระบบ

แฮกเกอร์กลุ่มนี้มักโทรไปยังพนักงานของบริษัทข้ามชาติที่ใช้ Salesforce โดยหลอกว่าเป็นฝ่ายไอที แล้วแจ้งให้ติดตั้ง “Salesforce Data Loader” สำหรับดึงและอัปเดตข้อมูลจาก Salesforce แต่ในความเป็นจริง กลับเป็นเวอร์ชันที่ถูกดัดแปลงให้ฝังโค้ดแฮ็กเพื่อขโมยข้อมูล

นอกจากนั้น พวกเขายังหลอกให้เหยื่อกรอก รหัส MFA และรหัสเชื่อมต่อ 8 หลัก ซึ่งใช้เชื่อมต่อ Salesforce กับแอปอื่น ๆ ทำให้แฮกเกอร์สามารถแทรกซึมเข้าระบบได้โดยตรง

หลังจากเจาะเข้าระบบ Salesforce ได้สำเร็จ แฮ็กเกอร์ยังลอบเข้าระบบอื่น ๆ อย่าง Okta, Workplace, และ Microsoft 365 เพื่อขโมยข้อมูลต่อ โดยพบว่าบางกรณีจะมีการเรียกค่าไถ่จากข้อมูลที่ได้ไป แต่ยังไม่พบว่ามีการติดตั้ง Ransomware แต่อย่างใด

เหยื่อส่วนใหญ่อยู่ในกลุ่มโรงแรม, ค้าปลีก, ภาคการศึกษา และธุรกิจอื่น ๆ ในอเมริกาและยุโรป โดย GTIG คาดว่ากลุ่ม UNC6040 อาจมีความเกี่ยวพันกับเครือข่ายใต้ดินอย่าง The Com และ Scattered Spider ซึ่งเป็นกลุ่มที่ขึ้นชื่อในด้านการโจมตีแบบ Social Engineer

ที่มา : theregister