Εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) για το AccountDumpling

Μέχρι το Mezo το Phishing

Μετάφραση σε:

Μια μεγάλης κλίμακας κυβερνοεγκληματική εκστρατεία, που αποδίδεται σε μια ομάδα απειλών που συνδέεται με το Βιετνάμ και ονομάστηκε AccountDumpling, έχει εντοπιστεί να αξιοποιεί το Google AppSheet ως μηχανισμό αναμετάδοσης ηλεκτρονικού "ψαρέματος" (phishing). Αυτή η επιχείρηση διανέμει παραπλανητικά email με κύριο στόχο την παραβίαση λογαριασμών Facebook, ιδίως εκείνων που σχετίζονται με επιχειρηματικούς χρήστες.

Σε αντίθεση με τις συμβατικές καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing), αυτό δεν είναι ένα στατικό σύνολο εργαλείων, αλλά ένα δυναμικό και συνεχώς εξελισσόμενο οικοσύστημα. Ενσωματώνει πίνακες ελέγχου χειριστών σε πραγματικό χρόνο, προηγμένες τεχνικές φοροδιαφυγής και έναν δομημένο αγωγό δημιουργίας εσόδων. Οι κλεμμένοι λογαριασμοί διοχετεύονται πίσω σε μια υπόγεια αγορά που ελέγχεται από τους εισβολείς, δημιουργώντας έναν αυτοσυντηρούμενο εγκληματικό βρόχο. Περίπου 30.000 λογαριασμοί Facebook έχουν παραβιαστεί στο πλαίσιο αυτής της καμπάνιας.

Πίνακας περιεχομένων

Οπλοποιημένη εμπιστοσύνη: Αξιοποίηση του Google AppSheet για παράδοση email

Η αλυσίδα επίθεσης ξεκινά με προσεκτικά σχεδιασμένα email ηλεκτρονικού "ψαρέματος" (phishing) που παριστάνουν την Meta Support. Αυτά τα μηνύματα στοχεύουν τους κατόχους λογαριασμών Facebook Business, προειδοποιώντας τους για επικείμενη διαγραφή του λογαριασμού, εκτός εάν ληφθούν άμεσα μέτρα. Τα θύματα παροτρύνονται να υποβάλουν ενστάσεις μέσω ενσωματωμένων συνδέσμων.

Ένας βασικός παράγοντας για την αποτελεσματικότητα της καμπάνιας είναι η χρήση νόμιμης υποδομής. Τα email αποστέλλονται από μια διεύθυνση Google AppSheet ('noreply@appsheet.com'), επιτρέποντάς τους να παρακάμπτουν πολλά παραδοσιακά φίλτρα ανεπιθύμητης αλληλογραφίας και ασφαλείας. Αυτή η τακτική ενισχύει την αξιοπιστία και αυξάνει την πιθανότητα εμπλοκής των χρηστών.

Η επείγουσα ανάγκη που μεταδίδεται σε αυτά τα μηνύματα κατευθύνει τους παραλήπτες σε δόλιες ιστοσελίδες που έχουν σχεδιαστεί για να συλλέγουν ευαίσθητα διαπιστευτήρια. Παρόμοια μοτίβα επιθέσεων παρατηρήθηκαν και σε προηγούμενες εκστρατείες, υποδεικνύοντας συνεχή βελτίωση και επαναχρησιμοποίηση επιτυχημένων τεχνικών.

Ψυχολογική Χειραγώγηση: Μηχανική Μετα-Πανικός

Οι επιτιθέμενοι χρησιμοποιούν μια ποικιλία δολωμάτων κοινωνικής μηχανικής για να προκαλέσουν πανικό και να αναγκάσουν τους χρήστες να αντιδράσουν γρήγορα. Αυτά τα δολώματα έχουν σχεδιαστεί στρατηγικά για να μιμούνται νόμιμες μετα-επικοινωνίες και να εκμεταλλεύονται σενάρια που βασίζονται στον φόβο.

Οι κύριες κατηγορίες δολωμάτων περιλαμβάνουν:

Απειλές που σχετίζονται με τον λογαριασμό : Ισχυρισμοί για αναστολή λογαριασμού, παραβιάσεις πνευματικών δικαιωμάτων ή επείγουσες απαιτήσεις επαλήθευσης
Ειδοποιήσεις ασφαλείας : Ειδοποιήσεις για ύποπτες συνδέσεις ή υποχρεωτικούς ελέγχους ασφαλείας
Κίνητρα για επιχειρήσεις και κύρους : Προσφορές επαλήθευσης Blue Badge ή ευκαιρίες πρόσληψης στελεχών
Εταιρική πλαστοπροσωπία : Ψεύτικες προσφορές εργασίας από γνωστές μάρκες για την οικοδόμηση εμπιστοσύνης και την έναρξη αλληλεπίδρασης

Κάθε δόλωμα είναι προσαρμοσμένο για να χειραγωγεί τη συμπεριφορά των χρηστών, αυξάνοντας την πιθανότητα αποκάλυψης διαπιστευτηρίων.

Υποδομή ηλεκτρονικού “ψαρέματος” πολλαπλών καναλιών: Διαφορετικοί μηχανισμοί παράδοσης

Η καμπάνια χαρακτηρίζεται από τη χρήση πολλαπλών πλατφορμών φιλοξενίας και μεθόδων παράδοσης, καθεμία από τις οποίες εξυπηρετεί έναν συγκεκριμένο ρόλο στη συλλογή και την απομάκρυνση δεδομένων. Τα τέσσερα κύρια συμπλέγματα επιθέσεων περιλαμβάνουν:

Σελίδες ηλεκτρονικού "ψαρέματος" (phishing) που φιλοξενούνται από το Netlify: Ψεύτικες πύλες του Κέντρου βοήθειας του Facebook, σχεδιασμένες για την καταγραφή διαπιστευτηρίων σύνδεσης, προσωπικών δεδομένων και στοιχείων ταυτοποίησης που έχουν εκδοθεί από την κυβέρνηση. Τα συλλεγόμενα δεδομένα μεταδίδονται σε κανάλια Telegram που ελέγχονται από εισβολείς.
Σελίδες «Ελέγχου Ασφαλείας» που φιλοξενούνται από την Vercel: Αυτές οι σελίδες προσομοιώνουν πύλες απορρήτου Meta ή ασφάλειας και περιλαμβάνουν ψεύτικες προκλήσεις CAPTCHA. Τα θύματα καλούνται να εισάγουν ξανά τα διαπιστευτήριά τους και να παρέχουν κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA), οι οποίοι εξαγάγονται σε πραγματικό χρόνο.
Δολώματα PDF που φιλοξενούνται στο Google Drive: Μεταμφιεσμένα σε επίσημες οδηγίες επαλήθευσης, αυτά τα έγγραφα ανακατευθύνουν τους χρήστες σε σελίδες ηλεκτρονικού "ψαρέματος" (phishing) που συλλέγουν κωδικούς πρόσβασης, κωδικούς 2FA, φωτογραφίες ταυτότητας, ακόμη και στιγμιότυπα οθόνης προγράμματος περιήγησης χρησιμοποιώντας ενσωματωμένα σενάρια.
Ψεύτικες ροές εργασίας προσλήψεων: Πλαστοπροσωπία μεγάλων εταιρειών για την εδραίωση αξιοπιστίας, ακολουθούμενη από ανακατεύθυνση σε κακόβουλες πλατφόρμες για περαιτέρω αλληλεπίδραση και συλλογή δεδομένων.

Συλλογικά, τα κανάλια Telegram που συνδέονται με αυτά τα clusters περιέχουν περίπου 30.000 αρχεία θυμάτων. Τα άτομα που επηρεάζονται βρίσκονται κυρίως στη Βόρεια Αμερική, την Ευρώπη, την Ασία και την Αυστραλία, πολλά από τα οποία έχουν χάσει την πρόσβαση στους λογαριασμούς τους.

Αναφορές Αναφοράς: Εντοπίζοντας τους Δρώντες Πίσω από την Καμπάνια

Κρίσιμα στοιχεία απόδοσης προέκυψαν από μεταδεδομένα ενσωματωμένα στα PDF ηλεκτρονικού "ψαρέματος" που δημιουργήθηκαν μέσω ενός δωρεάν λογαριασμού Canva. Τα αρχεία αναφέρουν τον "PHẠM TÀI TÂN" ως τον δημιουργό, παρέχοντας έναν άμεσο σύνδεσμο προς το άτομο που ενδεχομένως είναι υπεύθυνο για την επιχείρηση.

Περαιτέρω πληροφορίες ανοιχτού κώδικα αποκάλυψαν έναν αντίστοιχο ιστότοπο, τον «phamtaitan.vn», ο οποίος προωθεί υπηρεσίες ψηφιακού μάρκετινγκ. Δημόσιες δηλώσεις που σχετίζονται με αυτήν την οντότητα υποδεικνύουν εστίαση σε πόρους μάρκετινγκ και στρατηγική συμβουλευτική, υποδηλώνοντας ένα σύνολο δεξιοτήτων διπλής χρήσης που μπορεί να αξιοποιηθεί τόσο για νόμιμους όσο και για κακόβουλους σκοπούς.

Η Υπόγεια Οικονομία: Νομισματικοποίηση παραβιασμένων ψηφιακών ταυτοτήτων

Αυτή η καμπάνια καταδεικνύει μια ευρύτερη τάση στο κυβερνοέγκλημα: την εμπορευματοποίηση των ψηφιακών ταυτοτήτων. Οι παραβιασμένοι λογαριασμοί Facebook δεν είναι απλώς τελικά σημεία, αλλά πολύτιμα περιουσιακά στοιχεία μέσα σε μια ακμάζουσα υπόγεια αγορά.

Οι εισβολείς ανταλλάσσουν την πρόσβαση σε λογαριασμούς με βάση παράγοντες όπως η επιχειρηματική σχέση, το ιστορικό διαφημίσεων και οι δυνατότητες ανάκτησης. Η επιχείρηση καταδεικνύει πώς αξιόπιστες πλατφόρμες, όπως το Google AppSheet, το Netlify, το Vercel και άλλες, επαναχρησιμοποιούνται ως επίπεδα υποδομής για παράδοση, φιλοξενία και δημιουργία εσόδων.

Η καμπάνια AccountDumpling χρησιμεύει ως ένα σαφές παράδειγμα του πώς οι σύγχρονοι απειλητικοί παράγοντες ενσωματώνουν την κοινωνική μηχανική, τις υπηρεσίες cloud και την underground οικονομία σε μια συνεκτική και κλιμακώσιμη επιχείρηση κυβερνοεγκλημάτων.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής

Εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) για το AccountDumpling

Οπλοποιημένη εμπιστοσύνη: Αξιοποίηση του Google AppSheet για παράδοση email

Ψυχολογική Χειραγώγηση: Μηχανική Μετα-Πανικός

Υποδομή ηλεκτρονικού “ψαρέματος” πολλαπλών καναλιών: Διαφορετικοί μηχανισμοί παράδοσης

Αναφορές Αναφοράς: Εντοπίζοντας τους Δρώντες Πίσω από την Καμπάνια

Η Υπόγεια Οικονομία: Νομισματικοποίηση παραβιασμένων ψηφιακών ταυτοτήτων

Υποβάλετε σχόλιο

Τάσεις

Απάτη με το Vcex Crypto Exchange

Strimenur.co.in

Κακόβουλη καμπάνια NGate

Περισσότερες εμφανίσεις

Fuq.com

Eporner.com

XHAMSTER Ransomware