Phishingová kampaň AccountDumpling
Byla identifikována rozsáhlá kyberzločinná kampaň připisovaná skupině hrozby napojené na Vietnam a označovaná jako AccountDumpling, která využívá Google AppSheet jako phishingový mechanismus. Tato operace distribuuje klamavé e-maily s primárním cílem kompromitovat účty na Facebooku, zejména ty spojené s firemními uživateli.
Na rozdíl od konvenčních phishingových kampaní se nejedná o statickou sadu nástrojů, ale o dynamický a neustále se vyvíjející ekosystém. Zahrnuje řídicí panely operátorů v reálném čase, pokročilé techniky obcházení a strukturovaný monetizační kanál. Ukradené účty jsou směrovány zpět na podzemní tržiště ovládané útočníky, čímž vzniká soběstačná kriminální smyčka. V rámci této kampaně bylo napadeno přibližně 30 000 facebookových účtů.
Obsah
Zneužití důvěry jako zbraně: Využití Google AppSheet pro doručování e-mailů
Útočný řetězec začíná pečlivě vytvořenými phishingovými e-maily, které se vydávají za členy Meta Support. Tyto zprávy cílí na držitele firemních účtů na Facebooku a varují je před bezprostředním smazáním účtu, pokud nebudou okamžitě podniknuty kroky. Oběti jsou vyzývány k podání odvolání prostřednictvím vložených odkazů.
Klíčovým faktorem efektivity kampaně je použití legitimní infrastruktury. E-maily jsou odesílány z adresy Google AppSheet („noreply@appsheet.com“), což jim umožňuje obejít mnoho tradičních spamových a bezpečnostních filtrů. Tato taktika zvyšuje důvěryhodnost a zvyšuje pravděpodobnost zapojení uživatelů.
Naléhavost vyjádřená v těchto zprávách odkazuje příjemce na podvodné webové stránky určené k získávání citlivých přihlašovacích údajů. Podobné vzorce útoků byly pozorovány i v dřívějších kampaních, což naznačuje pokračující zdokonalování a opětovné používání úspěšných technik.
Psychologická manipulace: Vytváření „metapaniky“
Útočníci používají různé návnady sociálního inženýrství k vyvolání paniky a vynucení rychlé reakce uživatelů. Tyto návnady jsou strategicky navrženy tak, aby napodobovaly legitimní meta komunikaci a zneužívaly scénáře založené na strachu.
Mezi hlavní kategorie návnad patří:
Hrozby související s účtem : Tvrzení o pozastavení účtu, porušení autorských práv nebo požadavky na naléhavé ověření
Bezpečnostní upozornění : Upozornění na podezřelé přihlášení nebo povinné bezpečnostní kontroly
Obchodní a statusové pobídky : Nabídky ověření modrého odznaku nebo příležitosti k náboru vedoucích pracovníků
Vydávání se za korporátní firmu : Falešné pracovní nabídky od známých značek za účelem budování důvěry a navázání kontaktu.
Každá návnada je přizpůsobena tak, aby manipulovala s chováním uživatele a zvyšovala tak pravděpodobnost odhalení přihlašovacích údajů.
Vícekanálová phishingová infrastruktura: Různé mechanismy doručování
Kampaň se vyznačuje využitím více hostingových platforem a metod doručování, z nichž každá hraje specifickou roli při sběru a exfiltraci dat. Mezi čtyři primární útočné klastry patří:
- Phishingové stránky hostované na Netlify: Falešné portály Centra nápovědy Facebooku určené k zachycení přihlašovacích údajů, osobních údajů a identifikačních dokladů vydaných vládou. Shromážděná data jsou přenášena do útočníkem ovládaných kanálů Telegramu.
- Stránky „Bezpečnostní kontroly“ hostované na Vercelu: Tyto stránky simulují portály pro ochranu soukromí nebo zabezpečení metadat a obsahují falešné výzvy CAPTCHA. Oběti jsou vyzvány k opětovnému zadání přihlašovacích údajů a poskytnutí kódů pro dvoufaktorové ověřování (2FA), které jsou všechny odebírány v reálném čase.
- Lákavé PDF soubory hostované na Disku Google: Tyto dokumenty, maskované jako oficiální ověřovací pokyny, přesměrovávají uživatele na phishingové stránky, které pomocí vložených skriptů shromažďují hesla, kódy 2FA, fotografie z dokladů totožnosti a dokonce i snímky obrazovky prohlížeče.
- Falešné náborové pracovní postupy: Vydávání se za velké společnosti za účelem získání důvěryhodnosti, následované přesměrováním na škodlivé platformy pro další interakci a sběr dat.
Telegramové kanály propojené s těmito klastry dohromady obsahují přibližně 30 000 záznamů o obětech. Dotčené osoby se nacházejí převážně v Severní Americe, Evropě, Asii a Austrálii a mnoho z nich ztratilo přístup ke svým účtům.
Atribuční poznatky: Sledování aktérů stojící za kampaní
Kritické důkazy o atribuci se objevily z metadat vložených do phishingových PDF souborů vygenerovaných prostřednictvím bezplatného účtu Canva. Soubory uvádějí jako autora „PHẠM TÀI TÂN“, což poskytuje přímý odkaz na osobu potenciálně zodpovědnou za operaci.
Další informace z otevřených zdrojů odhalily odpovídající webovou stránku „phamtaitan.vn“, která propaguje služby digitálního marketingu. Veřejná prohlášení spojená s touto entitou naznačují zaměření na marketingové zdroje a strategické poradenství, což naznačuje dvojí využití dovedností, které lze zneužívat jak k legitimním, tak k škodlivým účelům.
Podzemní ekonomika: Monetizace kompromitovaných digitálních identit
Tato kampaň ilustruje širší trend v kyberkriminalitě: komodifikaci digitálních identit. Napadené účty na Facebooku nejsou jen koncovými body, ale cenným majetkem v rámci prosperujícího podzemního trhu.
Útočníci obchodují s přístupem k účtům na základě faktorů, jako je obchodní příslušnost, historie inzerce a potenciál obnovy. Tato operace demonstruje, jak se důvěryhodné platformy, Google AppSheet, Netlify, Vercel a další, přehodnocují jako vrstvy infrastruktury pro doručování, hosting a monetizaci.
Kampaň AccountDumpling slouží jako jasný příklad toho, jak moderní aktéři hrozeb integrují sociální inženýrství, cloudové služby a podzemní ekonomiku do soudržného a škálovatelného kyberzločinného podniku.
