AccountDumpling adathalász kampány
Egy Vietnámmal köthető fenyegetőcsoporthoz köthető, AccountDumpling névre keresztelt nagyszabású kiberbűnözői kampányt azonosítottak, amely a Google AppSheet adathalász továbbítási mechanizmusát használja. Ez a művelet megtévesztő e-maileket terjeszt azzal a fő céllal, hogy feltörje a Facebook-fiókokat, különösen az üzleti felhasználókhoz kapcsolódóakat.
A hagyományos adathalász kampányokkal ellentétben ez nem egy statikus eszköztár, hanem egy dinamikus és folyamatosan fejlődő ökoszisztéma. Valós idejű operátori irányítópultokat, fejlett kijátszási technikákat és strukturált bevételszerzési folyamatot foglal magában. Az ellopott fiókokat visszaterelik a támadók által ellenőrzött földalatti piactérre, egy önfenntartó bűnözői hurkot hozva létre. A kampány részeként körülbelül 30 000 Facebook-fiók került veszélybe.
Tartalomjegyzék
Fegyverré tett bizalom: A Google AppSheet kihasználása e-mail kézbesítéshez
A támadási lánc gondosan megfogalmazott adathalász e-mailekkel kezdődik, amelyek a Meta Support tagjainak adják ki magukat. Ezek az üzenetek a Facebook Business fiók tulajdonosait célozzák meg, figyelmeztetve őket a fiókjuk közvetlen törlésére, hacsak nem tesznek azonnali intézkedéseket. Az áldozatokat arra kérik, hogy beágyazott linkeken keresztül nyújtsanak be fellebbezéseket.
A kampány hatékonyságának egyik kulcsfontosságú tényezője a legitim infrastruktúra használata. Az e-maileket egy Google AppSheet címről („noreply@appsheet.com”) küldik, lehetővé téve számukra számos hagyományos spam- és biztonsági szűrő megkerülését. Ez a taktika növeli a hitelességet és a felhasználói elköteleződés valószínűségét.
Az ezekben az üzenetekben közvetített sürgősség a címzetteket csalárd weboldalakra irányítja, amelyek célja az érzékeny hitelesítő adatok megszerzése. Hasonló támadási mintákat figyeltek meg korábbi kampányokban is, ami a sikeres technikák folyamatos finomítását és újrafelhasználását jelzi.
Pszichológiai manipuláció: Mérnöki „metapánik”
A támadók különféle szociális manipulációs trükköket alkalmaznak a pánikkeltés és a felhasználók gyors reagálásának kikényszerítése érdekében. Ezeket a trükköket stratégiailag úgy tervezték, hogy utánozzák a legitim Meta kommunikációt és kihasználják a félelem alapú forgatókönyveket.
A főbb csalikategóriák a következők:
Fiókhoz kapcsolódó fenyegetések : Fiókfelfüggesztésre, szerzői jogsértésekre vagy sürgős ellenőrzési követelményekre vonatkozó állítások
Biztonsági riasztások : Értesítések gyanús bejelentkezésekről vagy kötelező biztonsági ellenőrzésekről
Üzleti és státuszösztönzők : Kék jelvényt igazoló ajánlatok vagy vezetői toborzási lehetőségek
Vállalati megszemélyesítés : Ismert márkáktól származó hamis állásajánlatok a bizalomépítés és az elköteleződés elősegítése érdekében.
Minden egyes csali úgy van kialakítva, hogy manipulálja a felhasználói viselkedést, növelve a hitelesítő adatok felfedésének valószínűségét.
Többcsatornás adathalász infrastruktúra: változatos kézbesítési mechanizmusok
A kampányt több tárhelyplatform és kézbesítési módszer használata jellemzi, amelyek mindegyike meghatározott szerepet tölt be az adatgyűjtésben és -kiszivárgásban. A négy fő támadási klaszter a következő:
- Netlify által üzemeltetett adathalász oldalak: Hamis Facebook súgóportálok, amelyek célja bejelentkezési adatok, személyes adatok és kormány által kiállított személyazonosító okmányok rögzítése. A gyűjtött adatokat a támadó által ellenőrzött Telegram-csatornákra továbbítják.
- Vercel által üzemeltetett „Biztonsági ellenőrző” oldalak: Ezek az oldalak Meta adatvédelmi vagy biztonsági portálokat szimulálnak, és hamis CAPTCHA-kihívásokat tartalmaznak. Az áldozatokat arra kérik, hogy újra megadják hitelesítő adataikat és kétfaktoros hitelesítési (2FA) kódokat, amelyeket valós időben kiszivárogtatnak.
- Google Drive-on tárolt PDF-csalik: Hivatalos ellenőrzési utasításoknak álcázva ezek a dokumentumok adathalász oldalakra irányítják át a felhasználókat, amelyek jelszavakat, 2FA-kódokat, azonosító fotókat és akár böngésző képernyőképeket is gyűjtenek beágyazott szkriptek segítségével.
- Hamis toborzási munkafolyamatok: Nagyvállalatok adataival való visszaélés a hitelesség megteremtése érdekében, majd átirányítás rosszindulatú platformokra további interakció és adatgyűjtés céljából.
Az ezekhez a klaszterekhez kapcsolódó Telegram-csatornák összesen körülbelül 30 000 áldozati adatot tartalmaznak. Az érintett személyek túlnyomórészt Észak-Amerikában, Európában, Ázsiában és Ausztráliában élnek, és sokan közülük elvesztették a hozzáférést fiókjukhoz.
Attribúciós elemzések: A kampány mögött álló szereplők felkutatása
Kritikus attribúciós bizonyítékok derültek ki az ingyenes Canva fiókon keresztül létrehozott adathalász PDF-ekbe ágyazott metaadatokból. A fájlokban a „PHẠM TÀI TÂN” szerepel szerzőként, ami közvetlen kapcsolatot biztosít a műveletért potenciálisan felelős személyhez.
További nyílt forráskódú információk tártak fel egy kapcsolódó weboldalt, a „phamtaitan.vn”-t, amely digitális marketing szolgáltatásokat népszerűsít. Az ehhez a szervezethez kapcsolódó nyilvános nyilatkozatok a marketing erőforrásokra és a stratégiai tanácsadásra való összpontosításra utalnak, ami egy kettős felhasználású készségre utal, amelyet mind legitim, mind rosszindulatú célokra fel lehet használni.
A földalatti gazdaság: A veszélyeztetett digitális identitások monetizálása
Ez a kampány a kiberbűnözés egy szélesebb körű trendjét illusztrálja: a digitális identitások árucikké válását. A feltört Facebook-fiókok nem pusztán végpontok, hanem értékes eszközök egy virágzó földalatti piacon.
A támadók olyan tényezők alapján cserélnek hozzáférést a fiókokhoz, mint az üzleti hovatartozás, a hirdetési előzmények és a helyreállítási potenciál. A művelet jól mutatja, hogyan alakítják át a megbízható platformokat, mint a Google AppSheet, a Netlify, a Vercel és másokat a kézbesítés, a tárhely és a bevételszerzés infrastrukturális rétegeiként.
Az AccountDumpling kampány egyértelmű példa arra, hogy a modern kiberfenyegető szereplők hogyan integrálják a társadalmi manipulációt, a felhőszolgáltatásokat és az illegális gazdaságot egy koherens és skálázható kiberbűnözői vállalkozásba.
