Segurança do upload de ficheiros do Salesforce: como impedir que malware e links maliciosos comprometam o seu CRM

O interesse dos atacantes no Salesforce aumenta diretamente com a sua adoção.

De acordo com a análise de inteligência de ameaças de 2025, o upload de ficheiros e o abuso do OAuth surgiram como os principais vetores de ataque por trás das principais violações de SaaS, expondo um ponto cego crítico nas estratégias de segurança na nuvem.

• Aumento de 20 vezes na taxa de deteção de ameaças do Salesforce no primeiro trimestre de 2025 em comparação com o quarto trimestre de 2024
• Quase 1 bilhão de registros roubadosem ataques coordenados a SaaS
• Mais de 39 grandes organizações foram comprometidas, incluindo Google, Coca-Cola, Adidas, Allianz, Air France, KLM e M&S.

Não foram incidentes isolados.

Eles afetaram marcas globais, indústrias regulamentadas e organizações com programas de segurança maduros.

• Google Ads: 2 ,55 milhões de registos de potenciais clientes expostos 
• Coca-Cola Europacific Partners: Mais de 23 milhões de registos da Salesforce exfiltrados 
• Allianz Life:1,4 milhões de clientes afetados 
• Varejistas do Reino Unido (M&S, Co-op, Harrods): manipulação do suporte técnico levou à implantação de ransomware 
• Setor da aviação (Air France, KLM, Hawaiian, WestJet): Segmentação sistemática e coordenada 

Um traço comum surgiu em todos os incidentes: ficheiros e links maliciosos entraram através de fluxos de trabalho confiáveis do Salesforce, sem serem verificados ou inspecionados.

Ao longo do início de 2025, vários analistas do setor de segurança revelaram um padrão.

Os invasores estão a usarficheiros aparentemente legítimos paracontornar as defesas tradicionais e alcançar os utilizadores finais dentro de plataformas SaaS, como o Salesforce.

O roteiro mudou. 

Em vez de explorar vulnerabilidades de software, os adversários concentraram-se emformatos de documentos confiáveisfornecidos por meio de fluxos de trabalho comerciais normais - uploads, registos partilhados e integrações.  

Este método é mais eficaz, porque a verificação de segurança é frequentemente mínima para o upload de ficheiros.

Os uploads de ficheiros armadilhados abusavam da confiança dos utilizadores, escondendo conteúdos maliciosos em ficheiros comuns.^[2-5]

Os ficheiros Word continuaram a ser o método mais comum para a disseminação de atividades maliciosas.  

Os atacantes incorporaram links de phishing ou URLs externos para download de malware e os combinaram com mensagens convincentes de engenharia social, como «por favor, verifique a fatura» ou «contrato atualizado em anexo».  

Depois de carregados diretamente no Salesforce, esses ficheiros contornavam completamente os controlos de segurança do e-mail. 

Conforme destacado nos relatórios de ameaças da Microsoft e de outros setores, o phishing baseado em QR (“quishing”) ganhou força em 2025.

Códigos QR maliciosos incorporados em ficheiros de imagem redirecionavam os utilizadores, principalmente emmobile , para páginas de recolha de credenciais, explorando a visibilidade e a inspeção reduzidas da mobile .

Os PDFs são normalmente disfarçados como faturas, formulários de conformidade ou documentos legais.

Alguns continham JavaScript incorporado, enquanto outros direcionavam os utilizadores para sites externos de phishing ou hospedagem de malware.

Os atacantes também aproveitaram:

• Ficheiros HTML para páginas de phishing baseadas em navegador 
• Arquivos ZIP para ocultar cargas secundárias 
• Ficheiros Excel que utilizam técnicas baseadas em fórmulas para executar lógica maliciosa 

À medida que a troca de dados baseada em ficheiros aumenta, o malware tornou-se mais sofisticado e difícil de detetar, muitas vezes contornando as ferramentas de segurança tradicionais baseadas em assinaturas.

De acordo comOPSWAT , a complexidade do malware aumentou127% em seis meses, impulsionada por malware polimórfico que muda a cada entrega, ataques sem ficheiros que são executados diretamente na memória, cargas úteis com atraso de tempo, técnicas de evasão anti-sandbox e conteúdo malicioso encriptado escondido dentro de estruturas de ficheiros legítimas.

Em alguns ataques modernos, o ponto de injeção ultrapassa o próprio ficheiro.

Nesses casos, o perigo real está frequentemente oculto emURLs incorporadas em documentos e imagens.

Os investigadores de segurança relatam consistentemente que os atacantes se concentram menos na entrega de malware e mais noredirecionamento dos utilizadores para destinos maliciosos, usando links que parecem legítimos à primeira vista.

Quando o utilizador clica, as verificações de segurança tradicionais já foram contornadas.

Os invasores costumam registar domínios que se assemelham a marcas confiáveis, substituindo caracteres, adicionando letras extras ou abusando de subdomínios.

Exemplos incluem versões com erros ortográficos de serviços conhecidos ou URLs preenchidos com nomes de marcas confiáveis para induzir os utilizadores a pensar que são seguros. 

Grande parte das campanhas de phishing depende de domínios criados apenas algumas semanas ou até mesmo dias antes de um ataque. Esses domínios não têm reputação estabelecida, são usados brevemente durante as campanhas e, muitas vezes, são abandonados antes que possam ser sinalizados pelas listas de bloqueio.

Links encurtados de serviços amplamente utilizados ocultam o destino final, impedindo que os utilizadores e as ferramentas básicas de segurança vejam para onde o link leva. Essa técnica continua popular porque evita filtros simples baseados em reputação e palavras-chave.

Os invasores escondem-se cada vez mais atrás de infraestruturas confiáveis, como redirecionamentos de motores de busca, serviços em nuvem ou plataformas de entrega de conteúdo. Essas URLs parecem inofensivas, passam nas verificações de confiança iniciais e só mais tarde redirecionam os utilizadores para páginas de phishing ou que hospedam malware.

Certos TLDs são abusados de forma desproporcional em campanhas de phishing devido aos custos de registo mais baixos e à fiscalização mais flexível. Embora nenhum TLD seja inerentemente malicioso, os atacantes preferem domínios que podem ser criados rapidamente e descartados sem consequências.

A Salesforce oferece várias maneiras de carregar, partilhar e trocar ficheiros — e os invasores aproveitaram-se de quase todas elas.

Em vez de visar um único recurso, eles abusaram detodo oecossistema de ingestão de ficheiros, misturando conteúdo malicioso nos fluxos de trabalho diários da empresa.

Os caminhos de envio externos eram frequentemente alvo de ataques porque são projetados para aceitar ficheiros de utilizadores não confiáveis. Isso inclui formulários Email-to-Case e Web-to-Case, Cloud Service Cloud e uploads através de portais de clientes.

Os invasores aproveitaram recursos de colaboração, como publicações no Chatter, ficheiros partilhados e integrações com plataformas de mensagens como Slack e WhatsApp, bem como conteúdo partilhado nas Cloud do Experience Cloud .

Os dados de segurança de 2025^[6]deixam uma coisa clara: os ficheiros tornaram-se o principal vetor de ataque direcionado a plataformas SaaS, como o Salesforce. Os invasores estão cada vez mais a usar uploads de ficheiros e conteúdo partilhado para contornar as defesas tradicionais, enquanto o abuso do OAuth permite que as ameaças passem completamente pelos controlos de MFA. 

Ao mesmo tempo, poucas ferramentas de segurança tradicionais foram projetadas para proteger os fluxos de trabalho do Salesforce ou inspecionar ficheiros no momento do upload.  

Para reduzir efetivamente o risco, a prevenção deve ocorrerantes que ficheiros ou links maliciosos cheguem aos utilizadores ou aos processos empresariais. 

MetaDefender Salesforce permite exatamente isso. 

A verdadeira questão já não é se os invasores têm como alvo o seu ambiente Salesforce, mas sim se você conseguirá detê-los antes que eles tenham sucesso.