AccountDumpling-phishingcampagne
Een grootschalige cybercriminele campagne, toegeschreven aan een aan Vietnam gelieerde dreigingsgroep en genaamd AccountDumpling, maakt gebruik van Google AppSheet als phishing-doorstuurmechanisme. Deze operatie verspreidt misleidende e-mails met als primair doel het compromitteren van Facebook-accounts, met name die van zakelijke gebruikers.
In tegenstelling tot conventionele phishingcampagnes is dit geen statische toolkit, maar een dynamisch en continu evoluerend ecosysteem. Het omvat realtime dashboards voor de aanvallers, geavanceerde ontwijktechnieken en een gestructureerd systeem voor het genereren van inkomsten. Gestolen accounts worden teruggeleid naar een ondergrondse marktplaats die wordt beheerd door de aanvallers, waardoor een zichzelf in stand houdende criminele cyclus ontstaat. Ongeveer 30.000 Facebook-accounts zijn in het kader van deze campagne gehackt.
Inhoudsopgave
Wapenmatig misbruik van vertrouwen: Google AppSheet exploiteren voor e-mailbezorging
De aanvalsketen begint met zorgvuldig opgestelde phishing-e-mails die zich voordoen als Meta Support. Deze berichten zijn gericht op houders van een Facebook Business-account en waarschuwen hen voor een dreigende accountverwijdering als er niet onmiddellijk actie wordt ondernomen. Slachtoffers worden aangespoord om bezwaar in te dienen via ingesloten links.
Een belangrijke factor in de effectiviteit van de campagne is het gebruik van legitieme infrastructuur. E-mails worden verzonden vanaf een Google AppSheet-adres ('noreply@appsheet.com'), waardoor ze veel traditionele spam- en beveiligingsfilters omzeilen. Deze tactiek versterkt de geloofwaardigheid en verhoogt de kans op gebruikersbetrokkenheid.
De urgentie die in deze berichten wordt overgebracht, leidt ontvangers naar frauduleuze websites die zijn ontworpen om gevoelige inloggegevens te bemachtigen. Soortgelijke aanvalspatronen werden waargenomen in eerdere campagnes, wat wijst op voortdurende verfijning en hergebruik van succesvolle technieken.
Psychologische manipulatie: het creëren van 'meta-paniek'
De aanvallers gebruiken diverse vormen van social engineering om paniek te zaaien en een snelle reactie van de gebruiker af te dwingen. Deze lokmiddelen zijn strategisch ontworpen om legitieme Meta-communicatie na te bootsen en angstscenario's uit te buiten.
De belangrijkste categorieën lokmiddelen zijn:
Bedreigingen met betrekking tot het account : beweringen over accountopschorting, schending van auteursrechten of dringende verificatieverzoeken.
Beveiligingswaarschuwingen : meldingen van verdachte aanmeldingen of verplichte beveiligingscontroles.
Zakelijke en statusvoordelen : aanbiedingen voor verificatie van de gehandicaptenparkeerkaart of mogelijkheden voor het werven van leidinggevend personeel.
Bedrijfsimitatie : Nepvacatures van bekende merken om vertrouwen te wekken en betrokkenheid te creëren.
Elke lokmethode is ontworpen om het gedrag van de gebruiker te manipuleren en de kans op het openbaar maken van inloggegevens te vergroten.
Multichannel phishinginfrastructuur: diverse leveringsmechanismen
De campagne kenmerkt zich door het gebruik van meerdere hostingplatforms en leveringsmethoden, die elk een specifieke rol spelen bij het verzamelen en exfiltreren van gegevens. De vier belangrijkste aanvalsclusters zijn:
- Phishingpagina's gehost op Netlify: Nep-helpcentrumpagina's van Facebook die zijn ontworpen om inloggegevens, persoonlijke data en overheidsidentificatiebewijzen te bemachtigen. De verzamelde gegevens worden doorgestuurd naar Telegram-kanalen die door de aanvaller worden beheerd.
- Door Vercel gehoste 'Beveiligingscontrole'-pagina's: Deze pagina's simuleren Meta-privacy- of beveiligingsportalen en bevatten nep-CAPTCHA-uitdagingen. Slachtoffers worden gevraagd hun inloggegevens opnieuw in te voeren en tweefactorauthenticatiecodes (2FA) te verstrekken, die allemaal in realtime worden gestolen.
- PDF-lokmiddelen die via Google Drive worden aangeboden: deze documenten, vermomd als officiële verificatie-instructies, leiden gebruikers door naar phishingpagina's waar wachtwoorden, 2FA-codes, identiteitsfoto's en zelfs schermafbeeldingen van browsers worden verzameld met behulp van ingebedde scripts.
- Valse wervingsprocessen: Het imiteren van grote bedrijven om geloofwaardigheid te creëren, gevolgd door omleiding naar kwaadaardige platforms voor verdere interactie en het verzamelen van gegevens.
De Telegram-kanalen die aan deze clusters zijn gekoppeld, bevatten gezamenlijk ongeveer 30.000 slachtoffergegevens. De getroffen personen bevinden zich voornamelijk in Noord-Amerika, Europa, Azië en Australië, en velen van hen hebben geen toegang meer tot hun accounts.
Inzichten in toeschrijving: De actoren achter de campagne in kaart brengen
Cruciaal bewijsmateriaal voor de dader kwam naar voren uit metadata die waren ingebed in de phishing-pdf's die via een gratis Canva-account waren gegenereerd. De bestanden vermelden 'PHẠM TÀI TÂN' als auteur, wat een directe link vormt naar de persoon die mogelijk verantwoordelijk is voor de operatie.
Verdere openbare informatie onthulde een bijbehorende website, 'phamtaitan.vn', die digitale marketingdiensten promoot. Openbare verklaringen van deze entiteit wijzen op een focus op marketingmiddelen en strategisch advies, wat suggereert dat de expertise zowel voor legitieme als kwaadwillige doeleinden kan worden ingezet.
De ondergrondse economie: het te gelde maken van gecompromitteerde digitale identiteiten
Deze campagne illustreert een bredere trend in cybercriminaliteit: de vercommercialisering van digitale identiteiten. Gehackte Facebook-accounts zijn niet zomaar eindpunten, maar waardevolle bezittingen binnen een bloeiende ondergrondse markt.
Aanvallers ruilen toegang tot accounts op basis van factoren zoals zakelijke banden, advertentiegeschiedenis en herstelmogelijkheden. De operatie laat zien hoe vertrouwde platforms, zoals Google AppSheet, Netlify, Vercel en andere, worden hergebruikt als infrastructuurlagen voor levering, hosting en monetisatie.
De AccountDumpling-campagne is een duidelijk voorbeeld van hoe moderne cybercriminelen social engineering, clouddiensten en de ondergrondse economie integreren in een samenhangende en schaalbare cybercriminele organisatie.
