Hackers exploraram dia zero da Salesforce para atacar Facebook

Invasores encadearam uma falha para contornar verificação do remetente no serviço de e-mail da Salesforce e na plataforma de jogos do Facebook para enviar e-mails de phishing
Da Redação
03/08/2023

Hackers exploraram uma vulnerabilidade de dia zero nos serviços de e-mail e servidores SMTP da Salesforce para lançar uma campanha de phishing sofisticada visando contas valiosas do Facebook. Os invasores encadearam uma falha apelidada de PhishForce para contornar as salvaguardas de verificação do remetente da Salesforce e peculiaridades na plataforma de jogos da web do Facebook para enviar e-mails de phishing em massa.

O benefício para os hackers de usar um gateway de e-mail respeitável como o Salesforce para distribuir e-mails de phishing é a evasão de gateways de e-mail seguros e regras de filtragem, garantindo que os e-mails maliciosos cheguem à caixa de entrada do alvo.

A campanha foi descoberta por analistas do Guardio Labs, que relataram a vulnerabilidade de dia zero e ajudaram a Salesforce no processo de correção.

No entanto, os problemas descobertos na plataforma de jogos do Facebook são preocupantes, pois os engenheiros da Meta ainda estão tentando entender por que as mitigações existentes falharam em interromper os ataques.

O Salesforce CRM permite que os clientes enviem e-mails como sua própria marca usando domínios personalizados que a plataforma deve primeiro verificar. Isso os protege de enviar e-mails por meio do Salesforce como outras marcas que eles não têm permissão para representar.

No entanto, o Guardio Labs diz que os invasores descobriram uma maneira de explorar o recurso “Email-to-Case” do Salesforce, que as organizações usam para converter e-mails de clientes recebidos em tickets acionáveis para suas equipes de suporte.

Especificamente, os invasores configuraram um novo fluxo “Email-to-Case” para obter o controle de um endereço de e-mail gerado pelo Salesforce e, em seguida, criaram um novo endereço de e-mail de entrada no domínio “salesforce.com”. Em seguida, definiram esse endereço como um “Endereço de e-mail em toda a organização”, que o Mass Mailer Gateway da Salesforce usa para enviar e-mails e, finalmente, passaram pelo processo de verificação para confirmar a propriedade do domínio.

Veja isso
Sites de comunidades inativas da Salesforce podem vazar dados
Clientes do Salesforce atacados pelo Dyre

Esse processo permitiu que eles usassem o endereço de e-mail do Salesforce para enviar mensagens a qualquer pessoa, ignorando as proteções de verificação e quaisquer outros filtros de e-mail e sistemas anti-phishing existentes. De fato, foi isso que o Guardio Labs observou, com e-mails de phishing que supostamente vieram da Meta Platforms usando o domínio “case.salesforce.com”.

Ao clicar no botão incorporado, a vítima vai para uma página de phishing hospedada e exibida como parte da plataforma de jogos do Facebook (“apps.facebook.com”), o que aumenta a legitimidade do ataque e torna ainda mais difícil para os destinatários do e-mail perceber a fraude. O objetivo do kit de phishing empregado nesta campanha é roubar as credenciais da conta do Facebook, mesmo apresentando mecanismos de desvio da autenticação de dois fatores.

Depois de confirmar os problemas replicando a criação de um endereço da marca Salesforce capaz de disseminar e-mails de phishing, o Guardio Labs notificou o fornecedor sobre sua descoberta em 28 de junho. A Salesforce reproduziu a vulnerabilidade e resolveu o problema exatamente um mês depois, em 28 de julho.

A Meta removeu as páginas que violavam o relatório do Guardio Labs. No entanto, seus engenheiros ainda estão investigando por que as proteções existentes falharam em interromper os ataques.

Compartilhar:

Últimas Notícias