Nova sofisticirana kampanja hakera pogađa kompanije širom Evrope i Amerike kroz obmanjujuće telefonske pozive i modifikovanu verziju popularne Salesforce aplikacije. Hakeri koriste izmenjenu verziju Data Loader alata kako bi ukrali podatke i pristupili korporativnim mrežama, saopštila je kompanija Google.
Grupa hakera koju Google prati pod oznakom UNC6040 pokazuje izuzetnu uspešnost u obmanjivanju zaposlenih da instaliraju kompromitovanu verziju Salesforce Data Loader alata. Ovaj softver se inače koristi za masovni unos podataka u Salesforce okruženja, što ga čini privlačnom metom za zloupotrebe.
Napadači kombinuju socijalno inženjerstvo sa tehničkim prevarama - pozivaju zaposlene telefonom i navode ih da posete lažnu stranicu za podešavanje Salesforce aplikacije. Tamo žrtve odobravaju instalaciju neovlašćene verzije aplikacije koju su hakeri kreirali da oponaša originalni Data Loader.
Kada zaposleni instalira kompromitovanu aplikaciju, hakeri dobijaju "značajne mogućnosti za pristup, pretragu i izvlačenje osetljivih informacija direktno iz kompromitovanih Salesforce okruženja", navode Google istraživači. Ovaj pristup često omogućava hakerima i kretanje kroz celu korporativnu mrežu, otvarajući vrata napadima na druge cloud servise i unutrašnje sisteme.
Veza sa sajber kriminalnim ekosistemom "The Com"
Tehnička infrastruktura povezana sa ovom kampanjom deli karakteristike sa širim sajber ekosistemom poznatim kao "The Com". Ovaj labavo organizovani sistem sastoji se od malih, razuđenih grupa koje učestvuju u sajber kriminalu, a ponekad i u nasilnim aktivnostima.
Portparol kompanije Google potvrdio je za Reuters da je kampanja UNC6040 do sada pogodila oko 20 organizacija tokom poslednjih nekoliko meseci. Kod dela tih organizacija hakeri su uspešno izvukli podatke, dodao je portparol.
Salesforce je reagovao na optužbe, sa portparolom koji je naveo da "nema indikacija da je problem posledica bilo kakve ranjivosti u samoj platformi". Kompanija je objasnila da su telefonski pozivi koje hakeri koriste "ciljane socijalno-inženjerske prevare osmišljene da iskoriste slabosti u svesti korisnika o sajber bezbednosti".
Portparol Salesforce-a nije želeo da otkrije tačan broj pogođenih korisnika, ali je naglasio da je kompanija "svesna samo manjeg broja pogođenih klijenata" i da "ovo nije rasprostranjen problem".
Salesforce je već u martu 2025. na svom blogu upozorio korisnike na napade putem telefonskog fišinga i na zloupotrebu zlonamernih, izmenjenih verzija alata Data Loader, što pokazuje da je kompanija bila svesna rastućeg trenda ovih napada.