Rabattilbud med flere licenser
Trusseldatabase Phishing AccountDumpling phishing-kampagne

AccountDumpling phishing-kampagne

Med Mezo i Phishing
Oversæt til:

En storstilet cyberkriminel kampagne, tilskrevet en trusselsgruppe med tilknytning til Vietnam og døbt AccountDumpling, er blevet identificeret ved at udnytte Google AppSheet som en phishing-relæmekanisme. Denne operation distribuerer vildledende e-mails med det primære formål at kompromittere Facebook-konti, især dem, der er forbundet med erhvervsbrugere.

I modsætning til konventionelle phishing-kampagner er dette ikke et statisk værktøjssæt, men et dynamisk og kontinuerligt udviklende økosystem. Det inkorporerer realtids-operatørdashboards, avancerede undvigelsesteknikker og en struktureret monetiseringspipeline. Stjålne konti kanaliseres tilbage til en underjordisk markedsplads kontrolleret af angriberne, hvilket skaber en selvbærende kriminel løkke. Omkring 30.000 Facebook-konti er blevet kompromitteret som en del af denne kampagne.

Våbenbaseret tillid: Udnyttelse af Google AppSheet til e-maillevering

Angrebskæden begynder med omhyggeligt udformede phishing-e-mails, der udgiver sig for at være Meta Support. Disse beskeder er rettet mod Facebook Business-kontoindehavere og advarer dem om forestående sletning af kontoen, medmindre der straks træffes foranstaltninger. Ofrene opfordres til at indsende klager via integrerede links.

En nøglefaktor for kampagnens effektivitet er brugen af legitim infrastruktur. E-mails sendes fra en Google AppSheet-adresse ('noreply@appsheet.com'), hvilket gør det muligt at omgå mange traditionelle spam- og sikkerhedsfiltre. Denne taktik øger troværdigheden og øger sandsynligheden for brugerengagement.

Den hastende karakter, der formidles i disse beskeder, leder modtagerne til svigagtige websteder, der er designet til at indsamle følsomme loginoplysninger. Lignende angrebsmønstre blev observeret i tidligere kampagner, hvilket indikerer løbende forbedring og genbrug af succesfulde teknikker.

Psykologisk manipulation: Ingeniørmæssig 'metapanik'

Angriberne bruger en række forskellige social engineering-lokkemidler til at udløse panik og fremtvinge hurtig brugerrespons. Disse lokkemidler er strategisk designet til at efterligne legitim metakommunikation og udnytte frygtbaserede scenarier.

De primære lokkekategorier omfatter:

Kontorelaterede trusler : Påstande om kontosuspendering, krænkelser af ophavsretten eller presserende verifikationskrav
Sikkerhedsadvarsler : Meddelelser om mistænkelige logins eller obligatoriske sikkerhedskontroller
Forretnings- og statusincitamenter : Tilbud om verifikation af blå badge eller muligheder for rekruttering af ledere
Firmaefterligning : Falske jobtilbud fra kendte brands for at opbygge tillid og igangsætte engagement

Hver lokkemiddel er skræddersyet til at manipulere brugeradfærd, hvilket øger sandsynligheden for afsløring af legitimationsoplysninger.

Multikanals phishing-infrastruktur: Diverse leveringsmekanismer

Kampagnen er kendetegnet ved dens brug af flere hostingplatforme og leveringsmetoder, der hver især spiller en specifik rolle i dataindsamling og -eksfiltrering. De fire primære angrebsklynger omfatter:

  • Netlify-hostede phishing-sider: Falske Facebook Hjælpeportaler designet til at indsamle loginoplysninger, personlige data og offentligt udstedt identifikation. Indsamlede data overføres til angriberkontrollerede Telegram-kanaler.
  • Vercel-hostede 'Sikkerhedstjek'-sider: Disse sider simulerer Meta-privatlivs- eller sikkerhedsportaler og indeholder falske CAPTCHA-udfordringer. Ofrene bliver bedt om at indtaste legitimationsoplysninger igen og angive tofaktorgodkendelseskoder (2FA), som alle udvindes i realtid.
  • Google Drive-hostede PDF-lokkemidler: Disse dokumenter, der er forklædt som officielle verifikationsinstruktioner, omdirigerer brugerne til phishing-sider, der indsamler adgangskoder, 2FA-koder, ID-fotos og endda browserskærmbilleder ved hjælp af integrerede scripts.
  • Falske rekrutteringsworkflows: Efterligning af store virksomheder for at etablere troværdighed, efterfulgt af omdirigering til ondsindede platforme for yderligere interaktion og dataindsamling.

Tilsammen indeholder de Telegram-kanaler, der er knyttet til disse klynger, cirka 30.000 offeroptegnelser. De berørte personer befinder sig hovedsageligt i Nordamerika, Europa, Asien og Australien, hvoraf mange har mistet adgangen til deres konti.

Attributionsindsigt: Sporing af aktørerne bag kampagnen

Kritisk bevismateriale fremkom fra metadata, der var indlejret i de phishing-PDF'er, der blev genereret via en gratis Canva-konto. Filerne angiver 'PHẠM TÀI TÂN' som forfatter, hvilket giver et direkte link til den person, der potentielt er ansvarlig for operationen.

Yderligere open source-information afslørede en tilsvarende hjemmeside, 'phamtaitan.vn', som promoverer digitale marketingtjenester. Offentlige udtalelser forbundet med denne enhed indikerer et fokus på marketingressourcer og strategisk rådgivning, hvilket antyder et dobbelt anvendelsessæt af færdigheder, der kan udnyttes til både legitime og ondsindede formål.

Undergrundsøkonomien: Monetisering af kompromitterede digitale identiteter

Denne kampagne illustrerer en bredere tendens inden for cyberkriminalitet: kommercialiseringen af digitale identiteter. Kompromitterede Facebook-konti er ikke blot slutpunkter, men værdifulde aktiver i et blomstrende undergrundsmarked.

Angribere bytter adgang til konti baseret på faktorer som forretningstilknytning, annonceringshistorik og gendannelsespotentiale. Operationen demonstrerer, hvordan betroede platforme, Google AppSheet, Netlify, Vercel og andre, genbruges som infrastrukturlag til levering, hosting og monetisering.

AccountDumpling-kampagnen er et tydeligt eksempel på, hvordan moderne trusselsaktører integrerer social engineering, cloudtjenester og undergrundsøkonomi i en sammenhængende og skalerbar cyberkriminel virksomhed.

Trending

Mest sete

Indlæser...