Les dangers cachés : comment des hackers utilisent une application Salesforce modifiée pour tromper les employés et extorquer les entreprises

Une attaque sophistiquée ciblant les employés

Dans un contexte où la cybersécurité est de plus en plus cruciale pour les entreprises, une nouvelle méthode d’attaque a été mise en lumière par Google. Des hackers ont réussi à tromper des employés dans des entreprises d’Europe et des Amériques en les incitant à installer une version modifiée d’une application liée à Salesforce. Cette manipulation permet aux cybercriminels de voler une quantité importante de données, d’accéder à d’autres services cloud de l’entreprise et d’extorquer ces dernières.

Le groupe de hackers UNC6040

Les chercheurs de Google ont identifié ce groupe de hackers sous le nom d’UNC6040. Ils se sont révélés particulièrement efficaces dans la manipulation des employés pour qu’ils installent une version altérée de l’outil Data Loader de Salesforce, qui est utilisé pour importer en masse des données dans les environnements Salesforce. Cette méthode d’attaque repose sur des techniques de social engineering, utilisant des appels vocaux pour persuader les employés de visiter une fausse page d’installation de l’application.

Les conséquences de l’installation de l’application malveillante

Lorsque les employés installent cette application modifiée, les hackers obtiennent un accès considérable aux informations sensibles des environnements Salesforce compromis. Ils peuvent ainsi :

– Accéder facilement à des données critiques.
– Exfiltrer des informations directement des systèmes de l’entreprise.
– Se déplacer latéralement dans le réseau de l’entreprise, ce qui leur permet d’attaquer d’autres services cloud et réseaux internes.

Cette capacité d’infiltration offre aux cybercriminels d’énormes opportunités pour nuire aux entreprises ciblées.

Des infrastructures techniques suspectes

Les chercheurs ont également noté que l’infrastructure technique liée à cette campagne présente des caractéristiques qui pourraient être associées à un écosystème plus large et désorganisé connu sous le nom de « The Com ». Ce dernier est reconnu pour regrouper de petits groupes disparates engagés dans des activités cybercriminelles, parfois violentes. Cela montre à quel point les menaces en ligne peuvent être interconnectées et complexes.

Impact sur les entreprises

Selon un porte-parole de Google, environ 20 organisations ont été touchées par la campagne UNC6040, observée au cours des derniers mois. Un sous-ensemble de ces entreprises a subi une exfiltration de données. Cette situation souligne l’importance pour les entreprises de rester vigilantes face aux menaces de cybersécurité, en particulier celles qui exploitent la naïveté des employés.

Réaction de Salesforce face à ces attaques

Un porte-parole de Salesforce a déclaré qu’il n’existait aucune indication que le problème provienne d’une vulnérabilité de leur plateforme. Au contraire, les attaques décrites sont le résultat de scams de social engineering ciblés, exploitant les failles dans la sensibilisation et les pratiques de cybersécurité des utilisateurs. Salesforce a également averti ses clients des attaques de phishing vocal, ou « vishing », et de l’abus potentiel de versions malveillantes de Data Loader dans un article de blog publié en mars 2025.

Prévenir les attaques futures

Pour éviter de telles situations à l’avenir, il est crucial que les entreprises mettent en place des mesures de sécurité robustes et forment leurs employés à la détection des tentatives de phishing. Voici quelques mesures préventives :

– Sensibiliser les employés aux techniques de social engineering.
– Mettre en œuvre des protocoles de vérification pour toute nouvelle installation d’application.
– Surveiller régulièrement les accès et les activités suspectes dans les systèmes d’information.

Vers une meilleure sécurité numérique

Alors que les menaces en ligne continuent d’évoluer, il est impératif que les entreprises adoptent une approche proactive en matière de cybersécurité. Cela inclut non seulement la mise à jour des systèmes et des logiciels, mais aussi la formation continue des employés pour renforcer leur vigilance face aux cyberattaques. En agissant de manière préventive, les entreprises peuvent non seulement protéger leurs données, mais aussi maintenir la confiance de leurs clients et partenaires dans un environnement numérique de plus en plus hostile.