AccountDumplingi andmepüügikampaania
Vietnamiga seotud ohurühmitusega seostatav ulatuslik küberkuritegevuse kampaania, mille nimi on AccountDumpling, on tuvastatud Google AppSheeti abil andmepüügi vahendusmehhanismina. See operatsioon levitab petturlikke e-kirju, mille peamine eesmärk on rikkuda Facebooki kontosid, eriti ärikasutajatega seotud kontosid.
Erinevalt tavapärastest andmepüügikampaaniatest ei ole see staatiline tööriistakomplekt, vaid dünaamiline ja pidevalt arenev ökosüsteem. See hõlmab reaalajas operaatori juhtpaneele, täiustatud pettustevastaseid tehnikaid ja struktureeritud monetiseerimiskanalit. Varastatud kontod suunatakse tagasi ründajate kontrollitavale põrandaalusele turule, luues iseseisva kuritegeliku ahela. Selle kampaania raames on ohustatud ligikaudu 30 000 Facebooki kontot.
Sisukord
Relvana kasutatav usaldus: Google AppSheeti ärakasutamine e-posti saatmiseks
Rünnakuahel algab hoolikalt koostatud andmepüügikirjadega, mis teesklevad Meta Supporti. Need sõnumid on suunatud Facebooki ärikonto omanikele, hoiatades neid konto peatse kustutamise eest, kui kohe meetmeid ei võeta. Ohvreid kutsutakse üles esitama apellatsioone manustatud linkide kaudu.
Kampaania tõhususe võtmeteguriks on legitiimse infrastruktuuri kasutamine. E-kirjad saadetakse Google AppSheeti aadressilt („noreply@appsheet.com”), mis võimaldab neil mööda minna paljudest traditsioonilistest rämpsposti- ja turvafiltritest. See taktika suurendab usaldusväärsust ja kasutajate kaasamise tõenäosust.
Nendes sõnumites edastatav kiireloomulisus suunab saajad petturlikele veebisaitidele, mis on loodud tundlike volituste kogumiseks. Sarnaseid rünnakumustreid on täheldatud ka varasemates kampaaniates, mis viitab edukate tehnikate pidevale täiustamisele ja taaskasutamisele.
Psühholoogiline manipuleerimine: inseneritöö “metapaanika”
Ründajad kasutavad paanika tekitamiseks ja kasutajate kiire reageerimise sundimiseks mitmesuguseid sotsiaalse manipuleerimise võtteid. Need peibutised on strateegiliselt loodud jäljendama legitiimseid metakommunikatsioone ja ära kasutama hirmupõhiseid stsenaariume.
Peamised peibutuskategooriad hõlmavad järgmist:
Kontoga seotud ohud : Väited konto peatamise, autoriõiguste rikkumiste või kiireloomuliste kinnitusnõuete kohta
Turvahoiatused : kahtlaste sisselogimiste või kohustuslike turvakontrollide teated
Äri- ja staatusepreemiad : sinise märgi kinnituspakkumised või juhtide värbamisvõimalused
Ettevõtte jäljendamine : võltsitud tööpakkumised tuntud kaubamärkidelt usalduse loomiseks ja kaasatuse algatamiseks
Iga peibutis on kohandatud kasutaja käitumise manipuleerimiseks, suurendades volituste avalikustamise tõenäosust.
Mitmekanaliline andmepüügi infrastruktuur: mitmekesised edastusmehhanismid
Kampaaniat iseloomustab mitme hostimisplatvormi ja edastusmeetodi kasutamine, millest igaühel on andmete kogumisel ja väljaviimisel kindel roll. Neli peamist rünnakuklastrit hõlmavad järgmist:
- Netlify hostitud andmepüügilehed: võltsitud Facebooki abikeskuse portaalid, mis on loodud sisselogimisandmete, isikuandmete ja valitsuse väljastatud isikut tõendavate dokumentide jäädvustamiseks. Kogutud andmed edastatakse ründaja kontrollitavatele Telegrami kanalitele.
- Verceli hostitud „turvakontrolli” lehed: need lehed simuleerivad Meta privaatsus- või turvaportaale ja sisaldavad võltsitud CAPTCHA-väljakutseid. Ohvritel palutakse uuesti sisestada volitused ja esitada kaheastmelise autentimise (2FA) koodid, mis kõik reaalajas välja filtreeritakse.
- Google Drive'is majutatud PDF-failide peibutised: Need dokumendid suunavad ametlike kinnitusjuhistena kasutajad andmepüügilehtedele, mis koguvad manustatud skriptide abil paroole, 2FA-koode, ID-fotosid ja isegi brauseri ekraanipilte.
- Võltsitud värbamisprotsessid: Usaldusväärsuse suurendamiseks suurte ettevõtete jäljendamine, millele järgneb edasiseks suhtluseks ja andmete kogumiseks pahatahtlikele platvormidele suunamine.
Nende klastritega seotud Telegrami kanalid sisaldavad kokku ligikaudu 30 000 ohvri kirjet. Kannatatud isikud asuvad peamiselt Põhja-Ameerikas, Euroopas, Aasias ja Austraalias ning paljud neist on kaotanud juurdepääsu oma kontodele.
Omistamise statistika: kampaania taga olevate isikute jälgimine
Tasuta Canva konto kaudu loodud andmepüügi PDF-failidesse manustatud metaandmetest ilmnesid olulised omistamistõendid. Failides on autorina märgitud 'PHẠM TÀI TÂN', mis pakub otsest linki operatsiooni eest potentsiaalselt vastutava isiku juurde.
Avatud lähtekoodiga luureandmed paljastasid vastava veebisaidi „phamtaitan.vn”, mis reklaamib digitaalse turunduse teenuseid. Selle üksusega seotud avalikud avaldused viitavad keskendumisele turundusressurssidele ja strateegilisele konsultatsioonile, mis viitab kahesuguse kasutusega oskuste komplektile, mida saab kasutada nii seaduslikel kui ka pahatahtlikel eesmärkidel.
Varjatud majandus: kahjustatud digitaalsete identiteetide monetiseerimine
See kampaania illustreerib küberkuritegevuse laiemat suundumust: digitaalsete identiteetide kaubaks muutumist. Ohustatud Facebooki kontod ei ole pelgalt lõpp-punktid, vaid väärtuslikud varad õitsval põrandaalusel turul.
Ründajad vahetavad juurdepääsu kontodele selliste tegurite alusel nagu äriline seos, reklaamiajalugu ja taastamispotentsiaal. See operatsioon näitab, kuidas usaldusväärseid platvorme, nagu Google AppSheet, Netlify, Vercel ja teised, kasutatakse ümber infrastruktuuri kihtidena edastamiseks, majutamiseks ja monetiseerimiseks.
AccountDumplingi kampaania on selge näide sellest, kuidas tänapäevased ohutegelased integreerivad sotsiaalse manipuleerimise, pilveteenused ja põrandaaluse majanduse ühtseks ja skaleeritavaks küberkuritegevuse ettevõtteks.
