O FBI emitiu um alerta de segurança sobre uma série de ataques cibernéticos direcionados a plataformas Salesforce, envolvendo grupos maliciosos com foco em roubo de dados e extorsão. Os ataques têm sido atribuídos a agentes rastreados como UNC6040 e UNC6395, ambos responsáveis por comprometer instâncias da Salesforce em organizações de diferentes setores. As campanhas utilizam uma combinação de vetores de ataque para obter acesso inicial, que vão desde engenharia social por meio de chamadas telefônicas (vishing) até o uso de credenciais comprometidas.
Em um dos casos mais recentes, os atacantes exploraram tokens OAuth de aplicativos conectados à Salesforce, como o Salesloft Drift, após a violação da conta GitHub da Salesloft entre março e junho de 2025. Como consequência, a empresa desativou temporariamente o aplicativo de chatbot e adotou medidas emergenciais de segurança, como autenticação multifator e rotação de credenciais. Uma vez dentro do ambiente Salesforce, os agentes utilizaram ferramentas como o Data Loader e scripts Python personalizados para realizar extração em massa de dados corporativos. Em alguns incidentes, os dados roubados foram mantidos em sigilo por semanas antes de o grupo iniciar contatos de extorsão, pressionando as vítimas com ameaças de vazamento público.
Os painéis de phishing e o direcionamento preciso de alvos durante chamadas de engenharia social demonstram um nível elevado de sofisticação. O FBI observa que, após obter acesso aos sistemas, os atacantes executam consultas diretas via API para baixar grandes volumes de informações. A fase de chantagem tem sido atribuída a um subgrupo que se identifica como ShinyHunters, conhecido por ameaçar vazamentos através de canais como o Telegram e por operar sites de exposição de dados. O FBI reforça que empresas que utilizam Salesforce devem revisar urgentemente suas integrações, monitorar o uso de APIs, verificar credenciais expostas, e considerar medidas adicionais de segurança como autenticação robusta e segregação de acessos.
