AccountDumpling-tietojenkalastelukampanja
Laajamittainen kyberrikolliskampanja, jonka on syynä Vietnamiin kytköksissä oleva uhkaryhmä ja jonka nimi on AccountDumpling, on tunnistettu hyödyntävän Google AppSheetiä tietojenkalasteluvälineenä. Operaatio levittää harhaanjohtavia sähköposteja, joiden ensisijaisena tavoitteena on vaarantaa Facebook-tilejä, erityisesti yrityskäyttäjien tilejä.
Toisin kuin perinteiset tietojenkalastelukampanjat, tämä ei ole staattinen työkalupakki, vaan dynaaminen ja jatkuvasti kehittyvä ekosysteemi. Se sisältää reaaliaikaisia operaattorin kojelaudan, edistyneitä väistötekniikoita ja strukturoidun ansaintaputken. Varastetut tilit ohjataan takaisin hyökkääjien hallitsemille maanalaisille markkinoille, mikä luo itsestään ylläpitävän rikollisen kierteen. Noin 30 000 Facebook-tiliä on vaarantunut osana tätä kampanjaa.
Sisällysluettelo
Aseeksi muutettu luottamus: Google AppSheetin hyödyntäminen sähköpostien toimittamiseen
Hyökkäysketju alkaa huolellisesti laadituilla tietojenkalasteluviesteillä, jotka tekeytyvät Meta Supportin jäseneksi. Nämä viestit kohdistuvat Facebook Business -tilin haltijoihin ja varoittavat heitä välittömästä tilin poistamisesta, ellei välittömiin toimiin ryhdytä. Uhreja kehotetaan tekemään valituksia upotettujen linkkien kautta.
Kampanjan tehokkuuden kannalta keskeinen tekijä on laillisen infrastruktuurin käyttö. Sähköpostit lähetetään Google AppSheet -osoitteesta ('noreply@appsheet.com'), minkä ansiosta ne voivat ohittaa monia perinteisiä roskaposti- ja tietoturvasuodattimia. Tämä taktiikka lisää uskottavuutta ja käyttäjien sitoutumisen todennäköisyyttä.
Näissä viesteissä välittyvä kiireellisyys ohjaa vastaanottajat huijaussivustoille, joiden tarkoituksena on kerätä arkaluonteisia tunnistetietoja. Samanlaisia hyökkäysmalleja havaittiin aiemmissa kampanjoissa, mikä viittaa jatkuvaan hienosäätöön ja onnistuneiden tekniikoiden uudelleenkäyttöön.
Psykologinen manipulointi: Insinöörin metapaniikki
Hyökkääjät käyttävät erilaisia sosiaalisen manipuloinnin houkuttimia paniikin laukaisemiseksi ja käyttäjien nopean reagoinnin pakottamiseksi. Nämä houkuttimet on strategisesti suunniteltu matkimaan laillista metaviestintää ja hyödyntämään pelkoon perustuvia skenaarioita.
Ensisijaisiin vieheluokkiin kuuluvat:
Tiliin liittyvät uhat : Väitteet tilin jäädyttämisestä, tekijänoikeusrikkomuksista tai kiireellisistä vahvistusvaatimuksista
Tietoturvahälytykset : Ilmoitukset epäilyttävistä kirjautumisista tai pakollisista tietoturvatarkastuksista
Liiketoiminta- ja statuskannustimet : Sinisen korttivahvistuksen tarjoukset tai johtajien rekrytointimahdollisuudet
Yritysten henkilöllisyyden anastus : Tunnettujen tuotemerkkien tekaistut työtarjoukset luottamuksen rakentamiseksi ja sitoutumisen edistämiseksi
Jokainen houkutin on räätälöity manipuloimaan käyttäjän käyttäytymistä, mikä lisää tunnistetietojen paljastumisen todennäköisyyttä.
Monikanavainen tietojenkalasteluinfrastruktuuri: Monipuoliset toimitusmekanismit
Kampanjalle on ominaista useiden hosting-alustojen ja toimitusmenetelmien käyttö, joilla kullakin on oma roolinsa tiedonkeruussa ja -vuodatuksessa. Neljä pääasiallista hyökkäysklusteria ovat:
- Netlifyn isännöimät tietojenkalastelusivut: Väärennetyt Facebookin ohjeportaalit, jotka on suunniteltu kaappaamaan kirjautumistietoja, henkilötietoja ja viranomaisten myöntämiä henkilöllisyystodistuksia. Kerätyt tiedot lähetetään hyökkääjän hallitsemille Telegram-kanaville.
- Vercelin isännöimät "tietoturvatarkistussivut": Nämä sivut simuloivat Meta-tietosuoja- tai tietoturvaportaaleja ja sisältävät väärennettyjä CAPTCHA-haasteita. Uhreja pyydetään antamaan tunnistetiedot uudelleen ja kaksivaiheisen todennuskoodit (2FA), jotka kaikki puretaan reaaliajassa.
- Google Driven isännöimät PDF-vieheet: Virallisiksi vahvistusohjeiksi naamioidut asiakirjat ohjaavat käyttäjät tietojenkalastelusivuille, jotka keräävät salasanoja, 2FA-koodeja, henkilöllisyystodistuskuvia ja jopa selaimen kuvakaappauksia upotettujen komentosarjojen avulla.
- Väärennetyt rekrytointiprosessit: Suurten yritysten henkilöllisyyden anastus uskottavuuden luomiseksi, minkä jälkeen käyttäjä ohjataan haitallisille alustoille myöhempää vuorovaikutusta ja tiedonkeruuta varten.
Näihin ryppääisiin linkitetyt Telegram-kanavat sisältävät yhteensä noin 30 000 uhritietoa. Uhrit sijaitsevat pääasiassa Pohjois-Amerikassa, Euroopassa, Aasiassa ja Australiassa, ja monet heistä ovat menettäneet pääsyn tileilleen.
Attribuutioanalyysi: Kampanjan takana olevien toimijoiden jäljittäminen
Kriittistä attribuutiotodistetta saatiin ilmaisen Canva-tilin kautta luotuihin tietojenkalastelu-PDF-tiedostoihin upotetuista metatiedoista. Tiedostoissa tekijäksi on merkitty 'PHẠM TÀI TÂN', mikä tarjoaa suoran linkin operaatiosta mahdollisesti vastuussa olevaan henkilöön.
Avoimen lähdekoodin tiedustelutiedot paljastivat myös vastaavan verkkosivuston nimeltä 'phamtaitan.vn', joka mainostaa digitaalisia markkinointipalveluita. Tähän yhteisöön liittyvät julkiset lausunnot viittaavat keskittymiseen markkinointiresursseihin ja strategiseen konsultointiin, mikä viittaa kaksikäyttöiseen osaamiseen, jota voidaan hyödyntää sekä laillisiin että haitallisiin tarkoituksiin.
Maanalainen talous: Vaurioituneiden digitaalisten identiteettien rahaksi muuttaminen
Tämä kampanja kuvaa kyberrikollisuuden laajempaa trendiä: digitaalisten identiteettien kaupallistamista. Vaarantuneet Facebook-tilit eivät ole pelkästään päätepisteitä, vaan arvokkaita resursseja kukoistavalla maanalaisella markkinapaikalla.
Hyökkääjät vaihtavat käyttöoikeuksia tileihin sellaisten tekijöiden perusteella kuin liiketoimintayhteydet, mainoshistoria ja palautumismahdollisuudet. Operaatio osoittaa, kuinka luotettavia alustoja, kuten Google AppSheet, Netlify, Vercel ja muita, käytetään uudelleen infrastruktuurikerroksina toimitusta, hosting-palvelua ja rahaksi tekoa varten.
AccountDumpling-kampanja on selkeä esimerkki siitä, miten nykyaikaiset uhkatoimijat yhdistävät sosiaalisen manipuloinnin, pilvipalvelut ja maanalaisen talouden yhtenäiseksi ja skaalautuvaksi kyberrikollisyritykseksi.
