جوجل تحذر من تطبيق مزيف لسرقة البيانات وابتزاز الضحايا

حذّرت شركة Google عبر فريقها للأمن السيبراني من حملة احتيال إلكترونية متطورة تنفذها مجموعة من الهاكرز المحترفين، تستهدف موظفي شركات في كل من أوروبا والأمريكتين. 

وتعتمد هذه الحملة، التي وصفت بأنها "واحدة من أكثر الهجمات الهندسية الاجتماعية تعقيدًا لهذا العام"، على استخدام نسخة مزيفة من تطبيق Salesforce Data Loader، أداة شهيرة ومعروفة تُستخدم لتحميل البيانات إلى منصات Salesforce، وقد أدت هذه الحملة إلى تسلل قراصنة إلى شبكات شركات كبرى، والوصول إلى بيانات شديدة الحساسية، وشنّ عمليات ابتزاز لاحقة.

تطبيق مزيف

وفقًا لتقرير مفصل صدر عن فريق استخبارات التهديدات في جوجل (GTIG)، فإن المهاجمين، والذين يُعرفون باسم UNC6040، يقومون بالتواصل مع موظفي الشركات عبر رسائل بريد إلكتروني أو مكالمات مزيفة، يدّعون فيها أنهم ممثلون رسميون من شركة Salesforce، ويوجهون الضحية إلى موقع ويب مزيف يحمل صفحة شبيهة تمامًا بصفحة تحميل تطبيق Data Loader الرسمي، حيث يطلب من الموظف تثبيت التطبيق على جهازه.

إلا أن التطبيق في الواقع هو نسخة خبيثة معدّلة من الأداة الأصلية، تتيح للمهاجمين اختراق النظام والحصول على بيانات الشركة الحساسة بمجرد تثبيتها. 

وأكد خبراء جوجل أن المهاجمين يستفيدون من هذه الثغرة للحصول على صلاحيات داخلية، وإجراء استعلامات في قواعد البيانات، بل وتوسيع نطاق الهجوم ليشمل خدمات سحابية أخرى وأنظمة متصلة بالشبكة الداخلية للشركة المستهدفة.

مجموعة إجرامية

ولم تتوقف تحذيرات جوجل عند كشف تفاصيل التقنية فقط، بل أشار باحثوها إلى وجود صلات مباشرة بين مجموعة UNC6040 ومجموعة إجرامية أوسع تُعرف باسم The Com، وهي جهة سيئة السمعة في عالم الجريمة الإلكترونية وتُتهم بتنفيذ عمليات واسعة تشمل احتيال مالي، اختراق بيانات، وأعمال عنف مرتبطة بابتزاز الشركات.

وفي تصريح أدلى به متحدث رسمي باسم جوجل لوكالة "رويترز"، قال إن أكثر من 20 منظمة تأثرت مباشرة بهذه الحملة خلال الأشهر الماضية، بعضها تعرّض لتسريب بيانات حساسة وأخرى تلقت تهديدات وطلبات فدية مقابل عدم نشر المعلومات.

ردود وتوضيحات

من جانبها، سارعت شركة Salesforce إلى إصدار توضيحات تؤكد فيها أن الحملة لا ترتبط بأي ثغرة في منصتها التقنية، وأن عمليات الاختراق تمت من خلال أسلوب احتيالي يعتمد على تقنيات "الهندسة الاجتماعية" وvishing (الاحتيال عبر المكالمات الصوتية).

وأضاف المتحدث الرسمي باسم Salesforce أن “عدد العملاء المتأثرين محدود، ولا توجد مؤشرات على تهديد واسع النطاق حتى الآن”، لكنه شدد في الوقت نفسه على أهمية رفع الوعي الأمني لدى الموظفين، لأن الهجمات تعتمد بشكل كامل على انخداع الضحية برسائل تبدو شرعية من الناحية الظاهرية.

وكانت Salesforce قد أصدرت تحذيرًا سابقًا في مارس 2025، نبهت فيه مستخدميها إلى مخاطر تحميل أدوات غير رسمية، وخاصة تلك التي يُروّج لها عبر مصادر غير موثوقة أو تصل عبر البريد الإلكتروني.

توصيات وتحذيرات

ينصح الخبراء الشركات والمؤسسات التي تعتمد على خدمات Salesforce بتكثيف تدريب الموظفين على التعرف إلى أساليب التصيد والاحتيال الإلكتروني، وتفعيل المصادقة متعددة العوامل، وعدم تثبيت أي برمجيات إلا من المصادر الرسمية. 

كما يُفضل التواصل مع فرق تكنولوجيا المعلومات داخل المؤسسة في حال تلقي أي اتصال مشبوه أو طلب غير معتاد يتعلق بتحميل أدوات أو تحديثات.