Рейтер —
Хакеры обманывают сотрудников компаний в Европе и Америке, заставляя их устанавливать модифицированную версию приложения Salesforce, что позволяет им красть огромные объемы данных, получать доступ к другим корпоративным облачным сервисам и вымогать деньги у этих компаний, сообщила в среду компания Google.
По словам исследователей, хакеры, отслеживаемые Google Threat Intelligence Group как UNC6040, «оказались особенно эффективными в обмане сотрудников», заставляя их устанавливать модифицированную версию Salesforce Data Loader — фирменного инструмента, используемого для массового импорта данных в среды Salesforce.
Хакеры используют голосовые вызовы, чтобы обманом заставить сотрудников посетить предполагаемую страницу настройки подключенного приложения Salesforce, чтобы одобрить несанкционированную, измененную версию приложения, созданную хакерами для эмуляции Data Loader.
По словам исследователей, если сотрудник устанавливает приложение, хакеры получают «значительные возможности для доступа, запроса и извлечения конфиденциальной информации непосредственно из скомпрометированных клиентских сред Salesforce».
Такой доступ часто дает хакерам возможность перемещаться по сети клиента, что позволяет осуществлять атаки на другие облачные сервисы и внутренние корпоративные сети.
Исследователи утверждают, что техническая инфраструктура, связанная с кампанией, имеет общие черты с предполагаемыми связями с более широкой и слабо организованной экосистемой, известной как «The Com», состоящей из небольших разрозненных групп, занимающихся киберпреступной, а иногда и насильственной деятельностью.
Представитель Google сообщил Reuters, что около 20 организаций пострадали от кампании UNC6040, которая наблюдалась в течение последних нескольких месяцев. У части этих организаций данные были успешно извлечены, сказал представитель.
Представитель Salesforce сообщил Reuters в электронном письме, что «нет никаких признаков того, что описанная проблема связана с какой-либо уязвимостью, присущей нашей платформе». Представитель заявил, что голосовые звонки, используемые для обмана сотрудников, «являются целенаправленными мошенническими действиями социальной инженерии, призванными эксплуатировать пробелы в осведомленности отдельных пользователей о кибербезопасности и передовых методах работы».
Представитель компании отказался назвать точное число пострадавших клиентов, но сообщил, что Salesforce «известно лишь о небольшой подгруппе пострадавших клиентов», и что это «неширокая проблема».
В сообщении в блоге от марта 2025 года компания Salesforce предупредила клиентов о голосовом фишинге (вишинге) и о хакерах, использующих вредоносные модифицированные версии Data Loader.
