"تحديث Windows وهمي وانكشاف خرق بيانات واسع عبر تطبيقات Gainsight المرتبطة بـ Salesforce"

في مراجعتها الأسبوعية، سلطت منصة Help Net Security الضوء على موجة هجمات متنوّعة ضارّة، أبرزها خدعة “تحديث Windows” — شاشة زائفة تُستخدم كطُعم لتثبيت برمجيات خبيثة على أجهزة المستخدمين. في الجانب الآخر من الهجوم السيبراني، كشفت Salesforce عن خرق أمني كبير عبر تطبيقات تابعة لـ Gainsight، ما دفع الشركة إلى إصدار مؤشرات اختراق (IoCs) وإجراءات إيقاف وصول مؤقت للتطبيقات لحماية بيانات عملائها. الهجوم — الذي يُرجّح أن بدأ في 8 نوفمبر — قد يكون أثر على أعداد غير معلنة من الشركات.

نوفمبر 30, 2025 - 11:46

"تحديث Windows وهمي وانكشاف خرق بيانات واسع عبر تطبيقات Gainsight المرتبطة بـ Salesforce"

خبر عاجل: موجة هجمات سيبرانية تضرب مستخدمي Windows وبيانات مئات الشركات

في أحدث تقرير أمني، رُصد تصاعد كبير في هجمات إلكترونية مزدوجة — الأولى تعتمد على خدعة “تحديث Windows وهمي” لتثبيت برمجيات خبيثة على أجهزة المستخدمين، والثانية تستهدف بيانات شركات باستخدام ثغرة عبر تطبيق خارجي مرتبط بـSalesforce.

أولاً: خدعة “تحديث Windows وهمي” تُسيطر

– تم توزيع شاشة تبدو كـ “تحديث رسمي لـ Windows” بهدف إقناع المستخدم بالنقر والموافقة — وعندها تُزرع برمجيات خبيثة على الجهاز.
– تلك البرمجيات — غالباً أدوات سرقة بيانات أو “infostealers” — تستخدم سلسلة تسليم متعددة المراحل وتقنيات متقدمة لتجاوز الدفاعات الأمنية، ما يجعل الهجوم شديد الفعالية.

ثانياً: خرق كبير عبر تطبيق Gainsight المرتبط بـ Salesforce

أعلنت Salesforce أنها رصدت “نشاطًا غير معتاد” في تطبيقات نشرتها Gainsight المتصلة بمنصتها، ما قد يكون مكّن مهاجمين من الوصول غير المصرّح إلى بيانات بعض العملاء.
فور اكتشاف الحادث، ألغت Salesforce كل رموز الوصول (access & refresh tokens) المرتبطة بتطبيقات Gainsight مؤقتًا وسحبت التطبيقات من متجرها الإلكتروني.
حسب تحليلات Google Threat Intelligence Group، فإن أكثر من 200 جهة عميلة لـ Salesforce على الأرجح تعرضت للاختراق.
مجموعة قرصنة تُعرف بـScattered Lapsus$ Hunters — التي تضم عصابة ShinyHunters — أعلنت مسؤوليتها عن الهجوم، وزعمت أنها استهدفت شركات كبرى عبر هذه الحملة.

ما يعنيه هذا للمستخدمين والشركات

لا تقتصر التهديدات على برامج مجهولة أو متطرفة — حتى “تحديثات Windows” يمكن أن تُستخدم كطاقم خداع. أي مستخدم، حتى لو بدا عليه الحذر، معرض إذا لم يكن يميز بين تحديث رسمي وزائف.
اعتماد المؤسسات على خدمات SaaS (كـ Salesforce + Gainsight) يسير في كثير من الأحيان رغم ضعف أدوات الحماية، ما يفتح “سطح هجوم” جديد: اختراق مزودي الخدمات الطرف الثالث يمكن أن يصل مباشرة إلى بيانات سلسلة من الشركات.
الشركات المتعاونة مع خدمات طرف ثالث يجب أن تراجع صلاحيات التطبيقات المرتبطة، تلغي ما لا تستخدمه، وتراقب نشاط التطبيقات والرموز (tokens)، وتُجري مراجعة أمنية دورية
توصيات للوقاية

لا تنقر على نوافذ تحديثات تظهر فجأة — تحقق دائمًا من مصدر التحديث (خاصة من داخل نظام Windows نفسه).
الشركات: راجعوا جميع التطبيقات والإضافات (Add-ons / Integrations) المرتبطة بـ Salesforce أو أي منصة سحابية، وتأكدوا من ضرورة وجودها.
ألغِ صلاحيات أي تطبيق طرف ثالث غير ضروري، وغيّر كلمات المرور/مفاتيح الدخول (tokens) فورًا إذا لاحظتم نشاطًا غير عادي.
نفّذوا تدقيق أمني دوري (logs, API calls, access tokens) وفعّلوا كل طبقات الحماية الممكنة (2FA — المصادقة متعددة العوامل، التشفير، إدارة الهوية…).