Фишинг кампания с AccountDumpling
Идентифицирана е мащабна киберпрестъпна кампания, приписвана на свързана с Виетнам група за престъпления и наречена AccountDumpling, която използва Google AppSheet като механизъм за фишинг реле. Тази операция разпространява подвеждащи имейли с основна цел компрометиране на акаунти във Facebook, особено тези, свързани с бизнес потребители.
За разлика от конвенционалните фишинг кампании, това не е статичен набор от инструменти, а динамична и непрекъснато развиваща се екосистема. Тя включва табла за управление на оператори в реално време, усъвършенствани техники за избягване на нарушения и структуриран процес на монетизация. Откраднатите акаунти се връщат обратно в подземен пазар, контролиран от нападателите, създавайки самоподдържащ се престъпен цикъл. Приблизително 30 000 акаунта във Facebook са били компрометирани като част от тази кампания.
Съдържание
Доверие като оръжие: Използване на Google AppSheet за доставка на имейли
Веригата от атаки започва с внимателно съставени фишинг имейли, представящи се за Meta Support. Тези съобщения са насочени към притежателите на бизнес акаунти във Facebook, предупреждавайки ги за предстоящо изтриване на акаунта, освен ако не бъдат предприети незабавни действия. Жертвите се насърчават да подават жалби чрез вградени връзки.
Ключов фактор за ефективността на кампанията е използването на легитимна инфраструктура. Имейлите се изпращат от адрес в Google AppSheet („noreply@appsheet.com“), което им позволява да заобиколят много традиционни филтри за спам и сигурност. Тази тактика повишава доверието и увеличава вероятността за ангажиране на потребителите.
Неотложността, предадена в тези съобщения, насочва получателите към измамнически уебсайтове, предназначени за събиране на чувствителни идентификационни данни. Подобни модели на атака са наблюдавани и в по-ранни кампании, което показва продължаващо усъвършенстване и повторно използване на успешни техники.
Психологическа манипулация: Инженеринг на „мета паника“
Нападателите използват различни примамки за социално инженерство, за да предизвикат паника и да принудят потребителите да реагират бързо. Тези примамки са стратегически проектирани да имитират легитимни мета комуникации и да експлоатират сценарии, основани на страх.
Основните категории примамки включват:
Заплахи, свързани с акаунта : Твърдения за спиране на акаунт, нарушения на авторски права или изисквания за спешна проверка
Сигнали за сигурност : Известия за подозрителни влизания или задължителни проверки за сигурност
Стимули за бизнес и статус : Оферти за потвърждение от син бадж или възможности за наемане на ръководни кадри
Корпоративно представяне : Фалшиви предложения за работа от известни марки за изграждане на доверие и иницииране на ангажираност
Всяка примамка е пригодена да манипулира поведението на потребителя, увеличавайки вероятността от разкриване на идентификационни данни.
Многоканална фишинг инфраструктура: Разнообразни механизми за доставка
Кампанията се характеризира с използването на множество хостинг платформи и методи за доставка, всяка от които изпълнява специфична роля в събирането и извличането на данни. Четирите основни клъстера за атака включват:
- Фишинг страници, хоствани от Netlify: Фалшиви портали на Центъра за помощ на Facebook, предназначени да събират идентификационни данни за вход, лични данни и издадени от правителството документи за самоличност. Събраните данни се предават към контролирани от хакерите Telegram канали.
- Страници за „Проверка на сигурността“, хоствани от Vercel: Тези страници симулират портали за поверителност или сигурност на мета данни и включват фалшиви CAPTCHA предизвикателства. Жертвите биват подканени да въведат отново идентификационни данни и да предоставят кодове за двуфакторно удостоверяване (2FA), като всички те се извличат в реално време.
- PDF файлове, хоствани в Google Drive, са примамливи: Прикрити като официални инструкции за проверка, тези документи пренасочват потребителите към фишинг страници, които събират пароли, 2FA кодове, снимки за самоличност и дори екранни снимки на браузъра, използвайки вградени скриптове.
- Фалшиви работни процеси за набиране на персонал: Представяне за големи компании за установяване на доверие, последвано от пренасочване към злонамерени платформи за по-нататъшно взаимодействие и събиране на данни.
Взети заедно, Telegram каналите, свързани с тези клъстери, съдържат приблизително 30 000 записа на жертви. Засегнатите лица са разположени предимно в Северна Америка, Европа, Азия и Австралия, много от които са загубили достъп до акаунтите си.
Анализ на приписването: Проследяване на участниците зад кампанията
Критични доказателства за атрибуция се появиха от метаданни, вградени във фишинг PDF файловете, генерирани чрез безплатен акаунт в Canva. Файловете посочват „PHẠM TÀI TÂN“ като автор, предоставяйки директна връзка към лицето, потенциално отговорно за операцията.
Допълнителна информация от отворен код разкри съответния уебсайт „phamtaitan.vn“, който промотира услуги за дигитален маркетинг. Публични изявления, свързани с това лице, показват фокус върху маркетингови ресурси и стратегическо консултиране, което предполага набор от умения с двойна употреба, които могат да бъдат използвани както за законни, така и за злонамерени цели.
Сивата икономика: Монетизиране на компрометирани дигитални идентичности
Тази кампания илюстрира по-широка тенденция в киберпрестъпността: превръщането на цифровите идентичности в стоки. Компрометираните Facebook акаунти не са просто крайни точки, а ценни активи в рамките на процъфтяващ подземен пазар.
Нападателите търгуват с достъп до акаунти въз основа на фактори като бизнес принадлежност, история на рекламиране и потенциал за възстановяване. Операцията демонстрира как надеждни платформи, Google AppSheet, Netlify, Vercel и други, се пренасочват към инфраструктурни слоеве за доставка, хостинг и монетизация.
Кампанията AccountDumpling служи като ясен пример за това как съвременните хакери интегрират социалното инженерство, облачните услуги и подземната икономика в едно сплотено и мащабируемо киберпрестъпно предприятие.
