Campagna di phishing AccountDumpling
È stata identificata una vasta campagna di criminalità informatica, attribuita a un gruppo di hacker legato al Vietnam e denominata AccountDumpling, che sfrutta Google AppSheet come meccanismo di inoltro per il phishing. Questa operazione distribuisce email ingannevoli con l'obiettivo principale di compromettere gli account Facebook, in particolare quelli associati a utenti aziendali.
A differenza delle tradizionali campagne di phishing, questo non è un kit di strumenti statico, bensì un ecosistema dinamico e in continua evoluzione. Incorpora dashboard operative in tempo reale, tecniche di elusione avanzate e un sistema di monetizzazione strutturato. Gli account rubati vengono reindirizzati verso un mercato nero controllato dagli aggressori, creando un circolo vizioso criminale. Circa 30.000 account Facebook sono stati compromessi nell'ambito di questa campagna.
Sommario
Fiducia trasformata in arma: sfruttare Google AppSheet per la consegna di email
La catena di attacchi inizia con email di phishing accuratamente create che imitano Meta Support. Questi messaggi prendono di mira i titolari di account Facebook Business, avvertendoli dell'imminente cancellazione dell'account se non intervengono immediatamente. Le vittime vengono invitate a presentare ricorso tramite i link incorporati.
Un fattore chiave per l'efficacia della campagna è l'utilizzo di un'infrastruttura legittima. Le email vengono inviate da un indirizzo Google AppSheet ('noreply@appsheet.com'), il che consente loro di aggirare molti filtri antispam e di sicurezza tradizionali. Questa tattica aumenta la credibilità e la probabilità di coinvolgimento degli utenti.
L'urgenza trasmessa da questi messaggi indirizza i destinatari verso siti web fraudolenti progettati per carpire credenziali sensibili. Schemi di attacco simili sono stati osservati in campagne precedenti, a indicare un continuo perfezionamento e riutilizzo di tecniche di successo.
Manipolazione psicologica: Ingegneria del Meta Panic
Gli aggressori utilizzano una varietà di stratagemmi di ingegneria sociale per scatenare il panico e costringere gli utenti a reagire rapidamente. Questi stratagemmi sono progettati strategicamente per imitare comunicazioni Meta legittime e sfruttare scenari basati sulla paura.
Le principali categorie di esche includono:
Minacce relative all'account : segnalazioni di sospensione dell'account, violazioni del copyright o richieste urgenti di verifica.
Avvisi di sicurezza : notifiche di accessi sospetti o controlli di sicurezza obbligatori
Incentivi aziendali e di prestigio : offerte di verifica del badge blu o opportunità di reclutamento di dirigenti.
Impersonificazione aziendale : false offerte di lavoro provenienti da marchi noti per creare fiducia e avviare un coinvolgimento.
Ogni esca è studiata per manipolare il comportamento dell'utente, aumentando la probabilità di divulgazione delle credenziali.
Infrastruttura di phishing multicanale: diversi meccanismi di distribuzione
La campagna si caratterizza per l'utilizzo di molteplici piattaforme di hosting e metodi di distribuzione, ognuno dei quali svolge un ruolo specifico nella raccolta e nell'esfiltrazione dei dati. I quattro principali gruppi di attacco includono:
- Pagine di phishing ospitate su Netlify: falsi portali del Centro assistenza di Facebook progettati per acquisire credenziali di accesso, dati personali e documenti di identità rilasciati dal governo. I dati raccolti vengono trasmessi a canali Telegram controllati dagli aggressori.
- Pagine di "Controllo di sicurezza" ospitate da Vercel: queste pagine simulano i portali di privacy o sicurezza di Meta e includono finte sfide CAPTCHA. Alle vittime viene richiesto di reinserire le credenziali e fornire i codici di autenticazione a due fattori (2FA), che vengono tutti esfiltrati in tempo reale.
- File PDF ingannevoli ospitati su Google Drive: camuffati da istruzioni ufficiali di verifica, questi documenti reindirizzano gli utenti a pagine di phishing che raccolgono password, codici di autenticazione a due fattori, foto identificative e persino screenshot del browser tramite script incorporati.
- Procedure di reclutamento fasulle: impersonificazione di grandi aziende per acquisire credibilità, seguita dal reindirizzamento a piattaforme dannose per ulteriori interazioni e raccolta di dati.
Complessivamente, i canali Telegram collegati a questi cluster contengono circa 30.000 record di vittime. Le persone colpite si trovano prevalentemente in Nord America, Europa, Asia e Australia, e molte di loro hanno perso l'accesso ai propri account.
Analisi dell’attribuzione: rintracciare gli attori dietro la campagna
Prove cruciali per l'attribuzione sono emerse dai metadati incorporati nei PDF di phishing generati tramite un account Canva gratuito. I file indicano "PHẠM TÀI TÂN" come autore, fornendo un collegamento diretto con l'individuo potenzialmente responsabile dell'operazione.
Ulteriori informazioni provenienti da fonti aperte hanno rivelato l'esistenza di un sito web corrispondente, "phamtaitan.vn", che promuove servizi di marketing digitale. Le dichiarazioni pubbliche associate a questa entità indicano un focus su risorse di marketing e consulenza strategica, suggerendo una duplice competenza che potrebbe essere sfruttata sia per scopi legittimi che illeciti.
L’economia sommersa: monetizzare le identità digitali compromesse
Questa campagna illustra una tendenza più ampia nel campo della criminalità informatica: la mercificazione delle identità digitali. Gli account Facebook compromessi non sono semplici punti di accesso, ma risorse preziose all'interno di un fiorente mercato nero.
Gli hacker si scambiano l'accesso agli account in base a fattori quali l'affiliazione aziendale, la cronologia pubblicitaria e il potenziale di recupero. L'operazione dimostra come piattaforme affidabili, come Google AppSheet, Netlify, Vercel e altre, vengano riutilizzate come livelli infrastrutturali per la distribuzione, l'hosting e la monetizzazione.
La campagna AccountDumpling rappresenta un chiaro esempio di come i moderni attori delle minacce integrino l'ingegneria sociale, i servizi cloud e l'economia sommersa in un'organizzazione criminale informatica coesa e scalabile.
