AccountDumpling Phishing-kampanje
En storstilt nettkriminell kampanje, tilskrevet en Vietnam-tilknyttet trusselgruppe og kalt AccountDumpling, har blitt identifisert ved å utnytte Google AppSheet som en phishing-relémekanisme. Denne operasjonen distribuerer villedende e-poster med det primære målet å kompromittere Facebook-kontoer, spesielt de som er knyttet til forretningsbrukere.
I motsetning til konvensjonelle phishing-kampanjer er dette ikke et statisk verktøysett, men et dynamisk og kontinuerlig utviklende økosystem. Det inkluderer sanntids operatørdashboards, avanserte unnvikelsesteknikker og en strukturert pengegenereringsprosess. Stjålne kontoer kanaliseres tilbake til en underjordisk markedsplass kontrollert av angriperne, noe som skaper en selvopprettholdende kriminell sløyfe. Omtrent 30 000 Facebook-kontoer har blitt kompromittert som en del av denne kampanjen.
Innholdsfortegnelse
Våpenbasert tillit: Utnyttelse av Google AppSheet for e-postlevering
Angrepskjeden starter med nøye utformede phishing-e-poster som utgir seg for å være Meta Support. Disse meldingene er rettet mot innehavere av Facebook Business-kontoer og advarer dem om at kontoen snart skal slettes med mindre det iverksettes umiddelbare tiltak. Ofrene oppfordres til å sende inn anker via innebygde lenker.
En nøkkelfaktor for kampanjens effektivitet er bruken av legitim infrastruktur. E-poster sendes fra en Google AppSheet-adresse ('noreply@appsheet.com'), slik at de kan omgå mange tradisjonelle spam- og sikkerhetsfiltre. Denne taktikken øker troverdigheten og øker sannsynligheten for brukerengasjement.
Hastigheten som formidles i disse meldingene leder mottakerne til falske nettsteder som er utformet for å samle sensitive påloggingsinformasjoner. Lignende angrepsmønstre ble observert i tidligere kampanjer, noe som indikerer kontinuerlig forbedring og gjenbruk av vellykkede teknikker.
Psykologisk manipulasjon: Ingeniørfagets «meta-panikk»
Angriperne bruker en rekke sosialtekniske lokkemidler for å utløse panikk og fremtvinge rask brukerrespons. Disse lokkemidlene er strategisk utformet for å etterligne legitim metakommunikasjon og utnytte fryktbaserte scenarier.
De primære lokkekategoriene inkluderer:
Kontorelaterte trusler : Påstander om kontosuspensjon, brudd på opphavsretten eller hastekrav til verifisering
Sikkerhetsvarsler : Varsler om mistenkelige pålogginger eller obligatoriske sikkerhetskontroller
Forretnings- og statusinsentiver : Tilbud om verifisering av blå badge eller muligheter for lederrekruttering
Bedriftsetterligning : Falske jobbtilbud fra kjente merkevarer for å bygge tillit og starte engasjement
Hvert lokkemiddel er skreddersydd for å manipulere brukeratferd, noe som øker sannsynligheten for at legitimasjon avsløres.
Flerkanals phishing-infrastruktur: Ulike leveringsmekanismer
Kampanjen kjennetegnes av bruken av flere hostingplattformer og leveringsmetoder, som hver har en spesifikk rolle i datainnsamling og eksfiltrering. De fire primære angrepsklyngene inkluderer:
- Netlify-hostede phishing-sider: Falske Facebook-hjelpesenterportaler designet for å fange opp påloggingsinformasjon, personopplysninger og offentlig utstedt identifikasjon. Innsamlede data overføres til angriperkontrollerte Telegram-kanaler.
- Vercel-hostede «Sikkerhetssjekk»-sider: Disse sidene simulerer Meta-personvern- eller sikkerhetsportaler og inkluderer falske CAPTCHA-utfordringer. Ofrene blir bedt om å oppgi legitimasjon på nytt og oppgi tofaktorautentiseringskoder (2FA), som alle blir eksfiltrert i sanntid.
- Google Drive-hostede PDF-lokkemidler: Disse dokumentene, forkledd som offisielle bekreftelsesinstruksjoner, omdirigerer brukere til phishing-sider som samler inn passord, 2FA-koder, ID-bilder og til og med skjermbilder fra nettlesere ved hjelp av innebygde skript.
- Falske rekrutteringsarbeidsflyter: Utgivelse av store selskaper for å etablere troverdighet, etterfulgt av omdirigering til ondsinnede plattformer for videre interaksjon og datainnsamling.
Til sammen inneholder Telegram-kanalene som er knyttet til disse klyngene omtrent 30 000 offerregistre. De berørte personene befinner seg hovedsakelig i Nord-Amerika, Europa, Asia og Australia, og mange av dem har mistet tilgangen til kontoene sine.
Attribusjonsinnsikt: Sporing av aktørene bak kampanjen
Kritisk bevis for henvisning fremkom fra metadata innebygd i phishing-PDF-ene generert via en gratis Canva-konto. Filene viser «PHẠM TÀI TÂN» som forfatter, noe som gir en direkte lenke til personen som potensielt er ansvarlig for operasjonen.
Ytterligere informasjon fra åpen kildekode avdekket et tilsvarende nettsted, «phamtaitan.vn», som markedsfører digitale markedsføringstjenester. Offentlige uttalelser knyttet til denne enheten indikerer et fokus på markedsføringsressurser og strategisk rådgivning, noe som tyder på et dobbeltbrukskompetansesett som kan utnyttes til både legitime og ondsinnede formål.
Undergrunnsøkonomien: Tjen penger på kompromitterte digitale identiteter
Denne kampanjen illustrerer en bredere trend innen nettkriminalitet: kommersialiseringen av digitale identiteter. Kompromitterte Facebook-kontoer er ikke bare endepunkter, men verdifulle eiendeler i et blomstrende undergrunnsmarked.
Angripere bytter tilgang til kontoer basert på faktorer som forretningstilknytning, annonseringshistorikk og gjenopprettingspotensial. Operasjonen demonstrerer hvordan pålitelige plattformer, Google AppSheet, Netlify, Vercel og andre, blir omgjort til infrastrukturlag for levering, hosting og inntektsgenerering.
AccountDumpling-kampanjen er et tydelig eksempel på hvordan moderne trusselaktører integrerer sosial manipulering, skytjenester og undergrunnsøkonomi i en sammenhengende og skalerbar nettkriminell virksomhet.
