🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A plataforma de inteligência de mercado Klue sofreu uma violação do OAuth que permitiu aos atores da ameaça “Icarus” roubar dados do Salesforce CRM de várias organizações em uma campanha de extorsão em andamento.
Fontes contaram ao BleepingComputer sobre o ataque ontem, dizendo-nos que inúmeras organizações tiveram seus dados do Salesforce roubados e agora estavam sendo extorquidas pelo relativamente novo grupo de extorsão.
As empresas de segurança cibernética ReliaQuest e Huntress publicaram relatórios confirmando o incidente de segurança, com a Huntress afirmando que seus dados do Salesforce foram roubados no ataque.
Desde então, a Salesforce desativou a integração do Klue Battlecards em sua plataforma enquanto a violação é investigada.
“Para proteger nossos clientes, a Salesforce desativou a conexão entre o aplicativo Klue Battlecards, instalado por clientes individuais, e a Salesforce como parte de nossa resposta a um recente incidente de segurança”, alertou ontem a Salesforce.
“Como resultado, as organizações não poderão se conectar ao Salesforce por meio deste aplicativo até novo aviso.”
Se você tiver alguma informação sobre este incidente ou outros ataques não divulgados, entre em contato conosco confidencialmente via Signal pelo telefone 646-961-3731 ou pelo email tips@bleepingcomputer.com.
Credenciais OAuth roubadas usadas para roubar dados do Salesforce
A ReliaQuest afirmou que os invasores obtiveram acesso às contas do serviço de integração Klue Battlecards e usaram tokens OAuth associados às instâncias do cliente Salesforce para realizar o roubo de dados.
Os pesquisadores observaram os atores da ameaça gerando tokens OAuth e, em seguida, usando scripts Python automatizados para consultar a API REST do Salesforce por quase 24 horas.
A atividade começou com o reconhecimento das instâncias do Salesforce de uma organização por meio do endpoint '/services/data/v59.0/sobjects' antes de exfiltrar os dados usando '/services/data/v59.0/query'.
A ReliaQuest disse que, para uma das organizações, os invasores mapearam lentamente seus objetos Salesforce para identificar objetos valiosos e, em seguida, roubaram dados rapidamente quando souberam o que queriam.
“O invasor atingiu o mesmo endpoint, enviando quase mil consultas em uma janela de 15 minutos em pelo menos um ambiente”, explicou ReliaQuest.
"Onde o primeiro estágio foi um puxão lento e constante projetado para se misturar, esta explosão trocou furtividade por velocidade, sugerindo pressão de tempo ou uma mudança para registros direcionados. Em outro caso, a exfiltração foi observada durante 6 horas."
Os pesquisadores disseram que a atividade se assemelhava muito aos ataques anteriores de roubo de dados de integração de terceiros do Salesforce pelo grupo de extorsão ShinyHunters, mas não foram capazes de atribuir os ataques ao autor da ameaça.
No entanto, o BleepingComputer descobriu ontem que ShinyHunters não estava por trás desse ataque, mas sim um ator de ameaça relativamente novo conhecido como "Icarus", que já havia começado a enviar por e-mail demandas de extorsão aos clientes Klue afetados pela violação.
Uma nota de resgate compartilhada com o BleepingComputer mostrou que os e-mails foram enviados usando o pseudônimo “mr bean” e incluíam um ID do Session Messenger para contatá-los.
E-mail de extorsão de ÍcaroFonte: BleepingComputer
O site de vazamento de dados dos atores da ameaça também contém uma mensagem sugerindo a campanha de extorsão em uma postagem simples intitulada "Prepare-se", afirmando: "grandes corporações sendo listadas. Esteja pronto".
Mensagem no site de vazamento de dados IcarusFonte: BleepingComputer
Acredita-se que o Icarus tenha sido lançado em abril de 2026 e inicialmente listou duas vítimas em seu site de vazamento, com o BleepingComputer descobrindo que pelo menos uma dessas vítimas está ligada à campanha Klue. Essa empresa já foi retirada do site de vazamento de dados, o que pode indicar que as negociações estão em andamento.
Hoje, a Huntress revelou que estava entre as organizações afetadas pela violação do Klue, confirmando que haviam recebido um e-mail de extorsão semelhante ao visto pelo BleepingComputer. No entanto, o ID da sessão usado em e-mails posteriores era diferente e, em vez disso, era aquele listado no site de vazamento de dados Icarus, fornecendo evidências adicionais de que eles estavam por trás do ataque.
“No e-mail inicial, o adversário sugere, ‘aconselhamos que você nos escreva na Session’ (sic)”, relatou Huntress.
“O ID do Session Messenger que eles forneceram correspondia aos mesmos valores incluídos no site de vazamento da dark web de um novo grupo de extorsão chamado ‘Icarus’”.
De acordo com Huntress, Klue disse aos clientes que os invasores primeiro comprometeram os sistemas de back-end da empresa e, em seguida, enviaram uma atualização de código malicioso que roubou tokens OAuth que os clientes usam para integrar o produto Battlecards com plataformas de terceiros.
Os invasores supostamente usaram uma credencial inativa, mas ainda ativa, criada por Klue para uma integração de protótipo. Depois de obter acesso ao ambiente de Klue, eles roubaram tokens OAuth dos clientes e os usaram para consultar diretamente os ambientes conectados do Salesforce.
Posteriormente, Klue desativou integrações com Salesforce, HubSpot, SharePoint, Zoom, Go
Fontes contaram ao BleepingComputer sobre o ataque ontem, dizendo-nos que inúmeras organizações tiveram seus dados do Salesforce roubados e agora estavam sendo extorquidas pelo relativamente novo grupo de extorsão.
As empresas de segurança cibernética ReliaQuest e Huntress publicaram relatórios confirmando o incidente de segurança, com a Huntress afirmando que seus dados do Salesforce foram roubados no ataque.
Desde então, a Salesforce desativou a integração do Klue Battlecards em sua plataforma enquanto a violação é investigada.
“Para proteger nossos clientes, a Salesforce desativou a conexão entre o aplicativo Klue Battlecards, instalado por clientes individuais, e a Salesforce como parte de nossa resposta a um recente incidente de segurança”, alertou ontem a Salesforce.
“Como resultado, as organizações não poderão se conectar ao Salesforce por meio deste aplicativo até novo aviso.”
Se você tiver alguma informação sobre este incidente ou outros ataques não divulgados, entre em contato conosco confidencialmente via Signal pelo telefone 646-961-3731 ou pelo email tips@bleepingcomputer.com.
Credenciais OAuth roubadas usadas para roubar dados do Salesforce
A ReliaQuest afirmou que os invasores obtiveram acesso às contas do serviço de integração Klue Battlecards e usaram tokens OAuth associados às instâncias do cliente Salesforce para realizar o roubo de dados.
Os pesquisadores observaram os atores da ameaça gerando tokens OAuth e, em seguida, usando scripts Python automatizados para consultar a API REST do Salesforce por quase 24 horas.
A atividade começou com o reconhecimento das instâncias do Salesforce de uma organização por meio do endpoint '/services/data/v59.0/sobjects' antes de exfiltrar os dados usando '/services/data/v59.0/query'.
A ReliaQuest disse que, para uma das organizações, os invasores mapearam lentamente seus objetos Salesforce para identificar objetos valiosos e, em seguida, roubaram dados rapidamente quando souberam o que queriam.
“O invasor atingiu o mesmo endpoint, enviando quase mil consultas em uma janela de 15 minutos em pelo menos um ambiente”, explicou ReliaQuest.
"Onde o primeiro estágio foi um puxão lento e constante projetado para se misturar, esta explosão trocou furtividade por velocidade, sugerindo pressão de tempo ou uma mudança para registros direcionados. Em outro caso, a exfiltração foi observada durante 6 horas."
Os pesquisadores disseram que a atividade se assemelhava muito aos ataques anteriores de roubo de dados de integração de terceiros do Salesforce pelo grupo de extorsão ShinyHunters, mas não foram capazes de atribuir os ataques ao autor da ameaça.
No entanto, o BleepingComputer descobriu ontem que ShinyHunters não estava por trás desse ataque, mas sim um ator de ameaça relativamente novo conhecido como "Icarus", que já havia começado a enviar por e-mail demandas de extorsão aos clientes Klue afetados pela violação.
Uma nota de resgate compartilhada com o BleepingComputer mostrou que os e-mails foram enviados usando o pseudônimo “mr bean” e incluíam um ID do Session Messenger para contatá-los.
E-mail de extorsão de ÍcaroFonte: BleepingComputer
O site de vazamento de dados dos atores da ameaça também contém uma mensagem sugerindo a campanha de extorsão em uma postagem simples intitulada "Prepare-se", afirmando: "grandes corporações sendo listadas. Esteja pronto".
Mensagem no site de vazamento de dados IcarusFonte: BleepingComputer
Acredita-se que o Icarus tenha sido lançado em abril de 2026 e inicialmente listou duas vítimas em seu site de vazamento, com o BleepingComputer descobrindo que pelo menos uma dessas vítimas está ligada à campanha Klue. Essa empresa já foi retirada do site de vazamento de dados, o que pode indicar que as negociações estão em andamento.
Hoje, a Huntress revelou que estava entre as organizações afetadas pela violação do Klue, confirmando que haviam recebido um e-mail de extorsão semelhante ao visto pelo BleepingComputer. No entanto, o ID da sessão usado em e-mails posteriores era diferente e, em vez disso, era aquele listado no site de vazamento de dados Icarus, fornecendo evidências adicionais de que eles estavam por trás do ataque.
“No e-mail inicial, o adversário sugere, ‘aconselhamos que você nos escreva na Session’ (sic)”, relatou Huntress.
“O ID do Session Messenger que eles forneceram correspondia aos mesmos valores incluídos no site de vazamento da dark web de um novo grupo de extorsão chamado ‘Icarus’”.
De acordo com Huntress, Klue disse aos clientes que os invasores primeiro comprometeram os sistemas de back-end da empresa e, em seguida, enviaram uma atualização de código malicioso que roubou tokens OAuth que os clientes usam para integrar o produto Battlecards com plataformas de terceiros.
Os invasores supostamente usaram uma credencial inativa, mas ainda ativa, criada por Klue para uma integração de protótipo. Depois de obter acesso ao ambiente de Klue, eles roubaram tokens OAuth dos clientes e os usaram para consultar diretamente os ambientes conectados do Salesforce.
Posteriormente, Klue desativou integrações com Salesforce, HubSpot, SharePoint, Zoom, Go
#samirnews #samir #news #boletimtec #violação #do #klue #oauth #ligada #a #ataques #de #roubo #de #dados #do #salesforce #‘icarus’
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário