Die Nutzenden der Business-Software von Salesforce sind offenbar ins Visier der finanziell motivierten Hackergruppe UNC6040 geraten. Wie die Sicherheitsexperten der Google Threat Intelligence Group (GTIG) berichten, ist die Gruppe auf Voice Phishing spezialisiert.

Die Cyberkriminellen geben sich am Telefon als Mitarbeiter des IT-Supports aus und fordern ihre Opfer auf, eine präparierte Salesforce-App zu installieren. Die App wird mit Salesforce verbunden und öffnet den Hackern so die firmeneigene IT-Umgebung. So können sie Daten aus dem CRM stehlen und in weitere Cloud-Instanzen sowie das interne Firmennetzwerk eindringen. GTIG betont, dass dafür keine Schwachstelle in Salesforce selbst ausgenutzt werde. Der Anbieter selbst hatte schon im März auf die Bedrohung durch Social Engineering hingewiesen.

Trotz der Warnung seien gemäss den Google-Expertinnen und -Experten in Europa sowie Nord- und Südamerika bereits mindestens 20 Organisationen zu Opfern der Hackergruppe geworden. Die Kampagne von UNC6040 habe vor einigen Monaten begonnen und sei weiterhin aktiv.

Die betroffenen Salesforce-Nutzenden würden jedoch teilweise erst Monate nach dem ersten Einbruch erpresst. Gemäss den Security-Spezialistinnen und -Spezialisten könnte die verzögerte Ansprache der Opfer darauf hindeuten, dass UNC6040 mit weiteren Hackergruppen partnert, die zunächst die gestohlenen Daten zu Geld machen.