Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Campanya de suplantació d'identitat (phishing) de...

Campanya de suplantació d'identitat (phishing) de AccountDumpling

El Mezo el Phishing
Traduir a:

S'ha identificat una campanya ciberdelinqüent a gran escala, atribuïda a un grup d'amenaces vinculat al Vietnam i anomenada AccountDumpling, que utilitza Google AppSheet com a mecanisme de retransmissió de phishing. Aquesta operació distribueix correus electrònics enganyosos amb l'objectiu principal de comprometre els comptes de Facebook, especialment els associats amb usuaris empresarials.

A diferència de les campanyes de phishing convencionals, aquesta no és un conjunt d'eines estàtic, sinó un ecosistema dinàmic i en contínua evolució. Incorpora quadres de comandament d'operador en temps real, tècniques d'evasió avançades i un canal de monetització estructurat. Els comptes robats es canalitzen de nou a un mercat clandestí controlat pels atacants, creant un bucle criminal autosostenible. Aproximadament 30.000 comptes de Facebook han estat compromesos com a part d'aquesta campanya.

Confiança armada: explotació de Google AppSheet per a l’enviament de correu electrònic

La cadena d'atac comença amb correus electrònics de phishing acuradament elaborats que suplanten la identitat del Meta Support. Aquests missatges s'adrecen als titulars de comptes de Facebook Business, advertint-los de l'eliminació imminent del compte si no es prenen mesures immediates. S'insta les víctimes a presentar apel·lacions a través d'enllaços incrustats.

Un factor clau en l'eficàcia de la campanya és l'ús d'una infraestructura legítima. Els correus electrònics s'envien des d'una adreça de Google AppSheet ("noreply@appsheet.com"), cosa que els permet evitar molts filtres tradicionals de correu brossa i seguretat. Aquesta tàctica millora la credibilitat i augmenta la probabilitat d'interacció dels usuaris.

La urgència que transmeten aquests missatges dirigeix els destinataris a llocs web fraudulents dissenyats per obtenir credencials sensibles. En campanyes anteriors es van observar patrons d'atac similars, cosa que indica un refinament i una reutilització continus de tècniques reeixides.

Manipulació psicològica: el metapànic de l’enginyeria

Els atacants utilitzen una varietat d'esquers d'enginyeria social per provocar pànic i obligar els usuaris a respondre ràpidament. Aquests esquers estan dissenyats estratègicament per imitar comunicacions Meta legítimes i explotar escenaris basats en la por.

Les categories principals d'esquers inclouen:

Amenaces relacionades amb el compte : reclamacions de suspensió de comptes, infraccions de drets d'autor o requisits de verificació urgents
Alertes de seguretat : Notificacions d'inicis de sessió sospitosos o comprovacions de seguretat obligatòries
Incentius empresarials i d'estatus : ofertes de verificació de distintius blaus o oportunitats de contractació de directius
Suplantació d'identitat corporativa : ofertes de treball falses de marques conegudes per generar confiança i iniciar interacció.

Cada esquer està adaptat per manipular el comportament de l'usuari, augmentant la probabilitat de divulgació de credencials.

Infraestructura de phishing multicanal: diversos mecanismes de lliurament

La campanya es caracteritza per l'ús de múltiples plataformes d'allotjament i mètodes de lliurament, cadascun dels quals té una funció específica en la recopilació i l'exfiltració de dades. Els quatre clústers d'atac principals inclouen:

  • Pàgines de phishing allotjades per Netlify: portals falsos del Centre d'ajuda de Facebook dissenyats per capturar credencials d'inici de sessió, dades personals i identificació emesa pel govern. Les dades recollides es transmeten als canals de Telegram controlats per atacants.
  • Pàgines de "Comprovació de seguretat" allotjades per Vercel: aquestes pàgines simulen portals de privadesa o seguretat de Meta i inclouen falsos CAPTCHA. Es demana a les víctimes que tornin a introduir les credencials i proporcionin codis d'autenticació de dos factors (2FA), tots els quals s'exfiltren en temps real.
  • Esquers PDF allotjats a Google Drive: disfressats d'instruccions de verificació oficials, aquests documents redirigeixen els usuaris a pàgines de phishing que recopilen contrasenyes, codis 2FA, fotos d'identificació i fins i tot captures de pantalla del navegador mitjançant scripts incrustats.
  • Fluxs de treball de contractació falsos: suplantació d'identitat de grans empreses per establir credibilitat, seguida de redirecció a plataformes malicioses per a una major interacció i recopilació de dades.

En conjunt, els canals de Telegram vinculats a aquests clústers contenen aproximadament 30.000 registres de víctimes. Les persones afectades es troben principalment a Amèrica del Nord, Europa, Àsia i Austràlia, moltes de les quals han perdut l'accés als seus comptes.

Atribution Insights: rastrejant els actors darrere de la campanya

Evidència d'atribució crítica va sorgir de les metadades incrustades als PDF de phishing generats a través d'un compte gratuït de Canva. Els fitxers indiquen "PHẠM TÀI TÂN" com a autor, proporcionant un enllaç directe a la persona potencialment responsable de l'operació.

Més informació de codi obert va revelar un lloc web corresponent, "phamtaitan.vn", que promou serveis de màrqueting digital. Les declaracions públiques associades amb aquesta entitat indiquen un enfocament en recursos de màrqueting i consultoria estratègica, cosa que suggereix un conjunt d'habilitats de doble ús que es pot aprofitar tant per a finalitats legítimes com malicioses.

L’economia submergida: monetització d’identitats digitals compromeses

Aquesta campanya il·lustra una tendència més àmplia en la ciberdelinqüència: la mercantilització de les identitats digitals. Els comptes de Facebook compromesos no són només punts finals, sinó actius valuosos dins d'un mercat clandestí pròsper.

Els atacants intercanvien l'accés als comptes en funció de factors com l'afiliació empresarial, l'historial publicitari i el potencial de recuperació. L'operació demostra com les plataformes de confiança, Google AppSheet, Netlify, Vercel i altres, s'estan reutilitzant com a capes d'infraestructura per al lliurament, l'allotjament i la monetització.

La campanya AccountDumpling serveix com a clar exemple de com els actors d'amenaces moderns integren l'enginyeria social, els serveis al núvol i l'economia clandestina en una empresa ciberdelinqüent cohesionada i escalable.

Tendència

Més vist

Carregant...