Приложение, доступ к которому открывает сотрудник компании, является модифицированной версией официальной утилиты Salesforce , обеспечивающей возможность автоматизированной выгрузки информации. Данная тактика привела к целой серии успешных взломов компаний с последующей кражей данных.
Целью модификации Data Loader является в том числе введение в заблуждение пострадавшего сотрудника и IT-специалистов компании. В ряде случаев приложение переименовывалось, чтобы выглядеть максимально безобидно или лучше соответствовать «легенде» фишингового звонка. Например, использовалось имя My Ticket Portal.
В некоторых случаях эксфильтрация данных происходила спустя несколько месяцев после взлома. Возможно, это указывает на то, что неавторизованный доступ затем передается другой группировке, которая способна монетизировать украденные данные. Клиентская информация в ряде случаев использовалась для вымогательства денег у самой жертвы, с угрозой выложить данные в открытый доступ. Помимо взлома Salesforce, злоумышленники также пытались получить доступ к другой корпоративной информации через кражу учеток в сервисе авторизации Okta и приложениях Microsoft 365. Для уменьшения вероятности взлома авторы отчета рекомендуют открывать доступ к бизнес-инструментам только с корпоративных IP-адресов, использовать принцип выдачи сотрудникам наименьших привилегий либо вовсе запрещать подключение сторонних приложений для всех работников, кроме тех, кому это действительно необходимо. Похожие рекомендации и на сайте Salesforce.
В отдельной эксперты Google анализируют голосовой фишинг на примере этой и других кампаний. В ней также упоминается иная тактика, при которой таргетируются не рядовые сотрудники, а отдел техподдержки. При звонке туда злоумышленники представляются работниками, утверждают, что забыли пароль для доступа к компьютеру или к конкретному сервису. Такие атаки могут быть успешными, когда для идентификации сотрудника запрашиваются данные, которые достаточно легко найти в открытом доступе.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали два отчета по развитию информационных угроз за первый квартал 2025 года со статистикой по и .
Компания OpenAI опубликовала очередной о вредоносном использовании сервисов искусственного интеллекта. Большая часть отчета посвящена различным методам генерации контента для социальных сетей, включая создание текстовых сообщений и комментариев, а также изображений в промышленных масштабах. В различных операциях подобного плана в том числе широко используется возможность создания сообщений на разных языках. Интерес также представляет попытка написания вредоносного приложения с использованием инструментов OpenAI. В описании этого инцидента отмечается попытка скрыть вредоносную деятельность: использовались одноразовые учетные записи, в каждой из которых злоумышленник запрашивал создание отдельной функции приложения.
В свежем релизе браузера Google Chrome очередная уязвимость нулевого дня, активно эксплуатируемая на момент обнаружения.
На черном рынке эксплойт для критической уязвимости в приложении Roundcube, обеспечивающем доступ к электронной почте через браузер. Речь идет об уязвимости CVE-2025-49113, закрытой 1 июня. Она приводит к выполнению произвольного кода и компрометации сервиса. Для успешной атаки требуется сначала войти в учетную запись в сервисе. Технические детали уязвимости опубликованы .
