Pikšķerēšanas kampaņa AccountDumpling
Ir identificēta plaša mēroga kibernoziedznieku kampaņa, kas tiek piedēvēta ar Vjetnamu saistītai apdraudējumu grupai un nodēvēta par AccountDumpling, izmantojot Google AppSheet kā pikšķerēšanas pārraides mehānismu. Šī operācija izplata maldinošus e-pastus ar galveno mērķi apdraudēt Facebook kontus, jo īpaši tos, kas saistīti ar biznesa lietotājiem.
Atšķirībā no tradicionālajām pikšķerēšanas kampaņām, šī nav statiska rīku komplekta, bet gan dinamiska un nepārtraukti attīstoša ekosistēma. Tā ietver reāllaika operatoru informācijas paneļus, uzlabotas krāpšanas metodes un strukturētu monetizācijas plūsmu. Nozagtie konti tiek novirzīti atpakaļ uzbrucēju kontrolētā pagrīdes tirgū, radot pašpietiekamu noziedzīgu cilpu. Šīs kampaņas ietvaros ir apdraudēti aptuveni 30 000 Facebook kontu.
Satura rādītājs
Uzticēšanās kā ierocis: Google AppSheet izmantošana e-pasta piegādei
Uzbrukumu ķēde sākas ar rūpīgi izstrādātiem pikšķerēšanas e-pastiem, kas uzdodas par Meta Support. Šie ziņojumi ir vērsti uz Facebook Business kontu īpašniekiem, brīdinot viņus par nenovēršamu konta dzēšanu, ja vien netiks veiktas tūlītējas darbības. Cietušie tiek aicināti iesniegt apelācijas, izmantojot iegultās saites.
Kampaņas efektivitātes galvenais faktors ir likumīgas infrastruktūras izmantošana. E-pasti tiek sūtīti no Google AppSheet adreses (“noreply@appsheet.com”), ļaujot tiem apiet daudzus tradicionālos surogātpasta un drošības filtrus. Šī taktika palielina ticamību un palielina lietotāju iesaistes iespējamību.
Šajos ziņojumos paustais steidzamības līmenis novirza adresātus uz krāpnieciskām tīmekļa vietnēm, kas izveidotas, lai iegūtu sensitīvus akreditācijas datus. Līdzīgi uzbrukumu modeļi tika novēroti iepriekšējās kampaņās, kas liecina par veiksmīgu metožu nepārtrauktu pilnveidošanu un atkārtotu izmantošanu.
Psiholoģiskā manipulācija: inženierijas “metapanika”
Uzbrucēji izmanto dažādas sociālās inženierijas ēsmas, lai izraisītu paniku un piespiestu lietotājus ātri reaģēt. Šīs ēsmas ir stratēģiski izstrādātas, lai atdarinātu likumīgu Meta saziņu un izmantotu uz bailēm balstītus scenārijus.
Galvenās ēsmu kategorijas ietver:
Ar kontu saistīti draudi : apgalvojumi par konta apturēšanu, autortiesību pārkāpumiem vai steidzamām verifikācijas prasībām
Drošības brīdinājumi : paziņojumi par aizdomīgiem pieteikšanās gadījumiem vai obligātām drošības pārbaudēm
Uzņēmējdarbības un statusa stimuli : Zilās nozīmītes verifikācijas piedāvājumi vai vadītāju atlases iespējas
Uzdošanās par uzņēmumu : Viltus darba piedāvājumi no pazīstamiem zīmoliem, lai veidotu uzticību un veicinātu sadarbību
Katrs ēsma ir pielāgots, lai manipulētu ar lietotāja uzvedību, palielinot akreditācijas datu izpaušanas iespējamību.
Daudzkanālu pikšķerēšanas infrastruktūra: dažādi piegādes mehānismi
Kampaņai raksturīga vairāku mitināšanas platformu un piegādes metožu izmantošana, katrai no kurām ir īpaša loma datu vākšanā un eksfiltrācijā. Četri galvenie uzbrukumu klasteri ietver:
- Netlify mitinātas pikšķerēšanas lapas: viltoti Facebook palīdzības centra portāli, kas izstrādāti, lai iegūtu pieteikšanās akreditācijas datus, personas datus un valdības izdotus identifikācijas dokumentus. Apkopotie dati tiek pārsūtīti uzbrucēju kontrolētiem Telegram kanāliem.
- Vercel mitinātās “drošības pārbaudes” lapas: šīs lapas simulē Meta privātuma vai drošības portālus un ietver viltotus CAPTCHA izaicinājumus. Cietušajiem tiek lūgts atkārtoti ievadīt akreditācijas datus un divfaktoru autentifikācijas (2FA) kodus, kas visi tiek nozagti reāllaikā.
- Google diskā mitināti PDF failu ēsmas līdzekļi: šie dokumenti, kas maskēti kā oficiālas verifikācijas instrukcijas, novirza lietotājus uz pikšķerēšanas lapām, kas, izmantojot iegultus skriptus, apkopo paroles, 2FA kodus, ID fotoattēlus un pat pārlūkprogrammas ekrānuzņēmumus.
- Viltus darbā pieņemšanas darbplūsmas: lielu uzņēmumu uzdošanās, lai nostiprinātu ticamību, kam seko novirzīšana uz ļaunprātīgām platformām turpmākai mijiedarbībai un datu vākšanai.
Kopā ar šīm kopām saistītajos Telegram kanālos ir aptuveni 30 000 upuru ierakstu. Skartās personas galvenokārt atrodas Ziemeļamerikā, Eiropā, Āzijā un Austrālijā, un daudzas no viņām ir zaudējušas piekļuvi saviem kontiem.
Atribūcijas ieskati: kampaņas dalībnieku izsekošana
Kritiski pierādījumi par vainas piešķiršanu tika iegūti no metadatiem, kas iegulti pikšķerēšanas PDF failos, kas ģenerēti, izmantojot bezmaksas Canva kontu. Failos kā autors ir norādīts “PHẠM TÀI TÂN”, kas nodrošina tiešu saiti uz personu, kas, iespējams, ir atbildīga par operāciju.
Papildu atklātā pirmkoda izlūkošanas dati atklāja atbilstošu vietni “phamtaitan.vn”, kas reklamē digitālā mārketinga pakalpojumus. Ar šo vienību saistītie publiskie paziņojumi liecina par koncentrēšanos uz mārketinga resursiem un stratēģiskajām konsultācijām, kas liecina par divējāda lietojuma prasmēm, kuras var izmantot gan likumīgiem, gan ļaunprātīgiem mērķiem.
Pazemes ekonomika: kompromitētu digitālo identitāšu monetizācija
Šī kampaņa ilustrē plašāku kibernoziedzības tendenci: digitālo identitāšu komercializāciju. Apdraudēti Facebook konti nav tikai galapunkti, bet gan vērtīgi aktīvi plaukstošā pagrīdes tirgū.
Uzbrucēji apmainās ar piekļuvi kontiem, pamatojoties uz tādiem faktoriem kā uzņēmējdarbības piederība, reklāmas vēsture un atgūšanas potenciāls. Šī operācija parāda, kā uzticamas platformas, piemēram, Google AppSheet, Netlify, Vercel un citas, tiek pārveidotas par infrastruktūras slāņiem piegādei, mitināšanai un monetizācijai.
Kampaņa “AccountDumpling” kalpo kā skaidrs piemērs tam, kā mūsdienu apdraudējumu veidotāji integrē sociālo inženieriju, mākoņpakalpojumus un pazemes ekonomiku saliedētā un mērogojamā kibernoziedznieku uzņēmumā.
