Ponuda s popustom na više licenci
Baza prijetnji Krađa identiteta Kampanja krađe identiteta putem AccountDumplinga

Kampanja krađe identiteta putem AccountDumplinga

Do Mezo. Krađa identiteta. godine
Prevedi na:

Identificirana je velika kibernetička kriminalna kampanja, pripisana skupini prijetnji povezanoj s Vijetnamom i nazvana AccountDumpling, koja koristi Google AppSheet kao mehanizam za phishing relej. Ova operacija distribuira obmanjujuće e-poruke s primarnim ciljem kompromitiranja Facebook računa, posebno onih povezanih s poslovnim korisnicima.

Za razliku od konvencionalnih phishing kampanja, ovo nije statički skup alata, već dinamičan i kontinuirano promjenjiv ekosustav. Uključuje nadzorne ploče operatera u stvarnom vremenu, napredne tehnike izbjegavanja i strukturirani proces monetizacije. Ukradeni računi se usmjeravaju natrag u podzemno tržište kojim upravljaju napadači, stvarajući samoodrživu kriminalnu petlju. Otprilike 30 000 Facebook računa kompromitirano je kao dio ove kampanje.

Oružje povjerenja: Iskorištavanje Google AppSheeta za dostavu e-pošte

Lanac napada započinje pažljivo osmišljenim phishing e-porukama koje se lažno predstavljaju kao Meta Support. Ove poruke ciljaju vlasnike Facebook Business računa, upozoravajući ih na skoru brisanje računa ako se odmah ne poduzmu mjere. Žrtve se potiču da podnesu žalbe putem ugrađenih poveznica.

Ključni faktor učinkovitosti kampanje je korištenje legitimne infrastrukture. E-poruke se šalju s Google AppSheet adrese ('noreply@appsheet.com'), što im omogućuje zaobilaženje mnogih tradicionalnih filtera za neželjenu poštu i sigurnosne filtere. Ova taktika povećava kredibilitet i vjerojatnost angažmana korisnika.

Hitnost prenesena u tim porukama upućuje primatelje na lažne web stranice osmišljene za prikupljanje osjetljivih podataka. Slični obrasci napada uočeni su u ranijim kampanjama, što ukazuje na kontinuirano usavršavanje i ponovnu upotrebu uspješnih tehnika.

Psihološka manipulacija: Inženjering 'meta panike'

Napadači koriste razne mamce socijalnog inženjeringa kako bi izazvali paniku i prisilili korisnike na brzu reakciju. Ti su mamci strateški osmišljeni kako bi oponašali legitimnu meta komunikaciju i iskoristili scenarije temeljene na strahu.

Glavne kategorije mamaca uključuju:

Prijetnje povezane s računom : tvrdnje o suspenziji računa, kršenju autorskih prava ili hitnim zahtjevima za provjeru
Sigurnosna upozorenja : Obavijesti o sumnjivim prijavama ili obveznim sigurnosnim provjerama
Poslovni i statusni poticaji : Ponude za provjeru plave značke ili mogućnosti zapošljavanja rukovoditelja
Korporativno lažno predstavljanje : Lažne ponude za posao od poznatih brendova radi izgradnje povjerenja i poticanja angažmana

Svaka je mamac prilagođen manipuliranju ponašanjem korisnika, povećavajući vjerojatnost otkrivanja vjerodajnica.

Višekanalna phishing infrastruktura: Različiti mehanizmi isporuke

Kampanju karakterizira korištenje više platformi za hosting i metoda isporuke, od kojih svaka ima specifičnu ulogu u prikupljanju i eksfiltraciji podataka. Četiri primarna klastera napada uključuju:

  • Netlify-hosting stranice za krađu identiteta: Lažni portali Facebook centra za pomoć dizajnirani za hvatanje pristupnih podataka, osobnih podataka i identifikacijskih dokumenata koje je izdala vlada. Prikupljeni podaci prenose se na Telegram kanale kojima upravljaju napadači.
  • Vercel-hosting stranice za 'Sigurnosnu provjeru': Ove stranice simuliraju Meta portale za privatnost ili sigurnost i uključuju lažne CAPTCHA izazove. Žrtve se pozivaju da ponovno unesu vjerodajnice i daju kodove za dvofaktorsku autentifikaciju (2FA), a svi se podaci uklanjaju u stvarnom vremenu.
  • PDF mamci hostani na Google disku: Prerušeni u službene upute za provjeru, ovi dokumenti preusmjeravaju korisnike na phishing stranice koje prikupljaju lozinke, 2FA kodove, fotografije identifikacijskih dokumenata, pa čak i snimke zaslona preglednika pomoću ugrađenih skripti.
  • Lažni tijekovi rada za zapošljavanje: Lažno predstavljanje velikih tvrtki radi uspostavljanja kredibiliteta, nakon čega slijedi preusmjeravanje na zlonamjerne platforme za daljnju interakciju i prikupljanje podataka.

Telegram kanali povezani s ovim klasterima zajedno sadrže otprilike 30 000 zapisa o žrtvama. Pogođene osobe pretežno se nalaze diljem Sjeverne Amerike, Europe, Azije i Australije, a mnoge od njih su izgubile pristup svojim računima.

Uvidi u atribuciju: Praćenje aktera iza kampanje

Ključni dokazi o atribuciji pojavili su se iz metapodataka ugrađenih u PDF-ove za krađu identiteta generirane putem besplatnog Canva računa. Datoteke navode 'PHẠM TÀI TÂN' kao autora, pružajući izravnu vezu s osobom potencijalno odgovornom za operaciju.

Daljnjim obavještajnim podacima iz otvorenih izvora otkrivena je odgovarajuća web stranica 'phamtaitan.vn' koja promovira usluge digitalnog marketinga. Javne izjave povezane s ovim subjektom ukazuju na fokus na marketinške resurse i strateško savjetovanje, što sugerira skup vještina dvojne namjene koji se može iskoristiti i u legitimne i u zlonamjerne svrhe.

Podzemna ekonomija: Monetizacija kompromitiranih digitalnih identiteta

Ova kampanja ilustrira širi trend u kibernetičkom kriminalu: komodifikaciju digitalnih identiteta. Kompromitirani Facebook računi nisu samo krajnje točke već vrijedna imovina unutar uspješnog podzemnog tržišta.

Napadači trguju pristupom računima na temelju čimbenika kao što su poslovna povezanost, povijest oglašavanja i potencijal oporavka. Operacija pokazuje kako se pouzdane platforme, Google AppSheet, Netlify, Vercel i druge, prenamjenjuju kao infrastrukturni slojevi za isporuku, hosting i monetizaciju.

Kampanja AccountDumpling služi kao jasan primjer kako moderni akteri prijetnji integriraju društveni inženjering, usluge u oblaku i podzemnu ekonomiju u kohezivno i skalabilno kibernetičko kriminalno poduzeće.

U trendu

Nagledanije

Učitavam...