Kampania phishingowa AccountDumpling
Zidentyfikowano zakrojoną na szeroką skalę kampanię cyberprzestępczą, przypisywaną grupie zagrożeń powiązanej z Wietnamem i nazwanej AccountDumpling, wykorzystującą Google AppSheet jako mechanizm przekazywania wiadomości phishingowych. Operacja ta polega na rozsyłaniu fałszywych wiadomości e-mail, których głównym celem jest włamanie się na konta na Facebooku, w szczególności te powiązane z użytkownikami biznesowymi.
W przeciwieństwie do konwencjonalnych kampanii phishingowych, nie jest to statyczny zestaw narzędzi, lecz dynamiczny i stale ewoluujący ekosystem. Obejmuje on panele operatorskie w czasie rzeczywistym, zaawansowane techniki unikania ataków oraz ustrukturyzowany system monetyzacji. Skradzione konta są kierowane z powrotem na podziemny rynek kontrolowany przez atakujących, tworząc samowystarczalną pętlę przestępczą. W ramach tej kampanii naruszono około 30 000 kont na Facebooku.
Spis treści
Zaufanie jako broń: wykorzystanie Google AppSheet do dostarczania wiadomości e-mail
Łańcuch ataku rozpoczyna się od starannie spreparowanych wiadomości phishingowych podszywających się pod Meta Support. Wiadomości te są skierowane do właścicieli kont firmowych na Facebooku, ostrzegając ich o nieuchronnym usunięciu konta, jeśli nie zostaną podjęte natychmiastowe działania. Ofiary są proszone o składanie odwołań za pośrednictwem osadzonych linków.
Kluczowym czynnikiem skuteczności kampanii jest wykorzystanie legalnej infrastruktury. Wiadomości e-mail są wysyłane z adresu Google AppSheet („noreply@appsheet.com”), co pozwala im ominąć wiele tradycyjnych filtrów antyspamowych i zabezpieczeń. Taka taktyka zwiększa wiarygodność i prawdopodobieństwo zaangażowania użytkowników.
Pilność przekazywana w tych wiadomościach kieruje odbiorców na fałszywe strony internetowe, których celem jest wykradanie poufnych danych uwierzytelniających. Podobne schematy ataków obserwowano we wcześniejszych kampaniach, co wskazuje na ciągłe udoskonalanie i ponowne wykorzystywanie skutecznych technik.
Manipulacja psychologiczna: inżynieria „metapaniki”
Atakujący stosują różnorodne przynęty socjotechniczne, aby wywołać panikę i zmusić użytkownika do szybkiej reakcji. Przynęty te są strategicznie zaprojektowane tak, aby naśladować legalną komunikację meta i wykorzystywać scenariusze oparte na strachu.
Główne kategorie przynęt obejmują:
Zagrożenia związane z kontem : roszczenia o zawieszenie konta, naruszenia praw autorskich lub pilne wymagania weryfikacji
Alerty bezpieczeństwa : Powiadomienia o podejrzanych logowaniach lub obowiązkowych kontrolach bezpieczeństwa
Zachęty biznesowe i statusowe : Oferty weryfikacji niebieskiej odznaki lub możliwości rekrutacji kadry kierowniczej
Podszywanie się pod korporację : Fałszywe oferty pracy od znanych marek, mające na celu zbudowanie zaufania i zainicjowanie zaangażowania
Każda przynęta jest dostosowana do manipulowania zachowaniem użytkownika, zwiększając prawdopodobieństwo ujawnienia jego danych uwierzytelniających.
Infrastruktura phishingu wielokanałowego: zróżnicowane mechanizmy dostarczania
Kampania charakteryzuje się wykorzystaniem wielu platform hostingowych i metod dostarczania, z których każda pełni określoną rolę w gromadzeniu i eksfiltracji danych. Cztery główne grupy ataków obejmują:
- Strony phishingowe hostowane przez Netlify: Fałszywe portale Centrum Pomocy Facebooka, mające na celu przechwytywanie danych logowania, danych osobowych i dokumentów tożsamości wydanych przez organy rządowe. Zebrane dane są przesyłane do kanałów Telegram kontrolowanych przez atakujących.
- Strony „Kontroli Bezpieczeństwa” hostowane przez Vercel: Strony te symulują portale Metaprivacy lub bezpieczeństwa i zawierają fałszywe testy CAPTCHA. Ofiary są proszone o ponowne wprowadzenie danych logowania i podanie kodów uwierzytelniania dwuskładnikowego (2FA), które są weryfikowane w czasie rzeczywistym.
- Przynęty w postaci plików PDF udostępnianych na Dysku Google: dokumenty te, podszywające się pod oficjalne instrukcje weryfikacji, kierują użytkowników na strony phishingowe, które za pomocą osadzonych skryptów zbierają hasła, kody 2FA, zdjęcia dokumentów tożsamości, a nawet zrzuty ekranu przeglądarki.
- Fałszywe procesy rekrutacyjne: podszywanie się pod duże firmy w celu budowania wiarygodności, a następnie przekierowanie na złośliwe platformy w celu dalszej interakcji i gromadzenia danych.
Łącznie kanały Telegramu powiązane z tymi grupami zawierają około 30 000 rekordów ofiar. Osoby dotknięte atakiem pochodzą głównie z Ameryki Północnej, Europy, Azji i Australii, a wiele z nich utraciło dostęp do swoich kont.
Wgląd w atrybucję: śledzenie aktorów stojących za kampanią
Krytyczne dowody atrybucji pojawiły się w metadanych osadzonych w plikach PDF phishingowych wygenerowanych za pośrednictwem bezpłatnego konta Canva. Pliki podają „PHẠM TÀI TÂN” jako autora, co zapewnia bezpośredni link do osoby potencjalnie odpowiedzialnej za operację.
Dalsze badania z wykorzystaniem źródeł otwartych ujawniły powiązaną stronę internetową „phamtaitan.vn”, która promuje usługi marketingu cyfrowego. Publiczne oświadczenia związane z tym podmiotem wskazują na koncentrację na zasobach marketingowych i doradztwie strategicznym, co sugeruje, że posiada on umiejętności o podwójnym przeznaczeniu, które mogą być wykorzystywane zarówno w celach legalnych, jak i szkodliwych.
Gospodarka podziemna: monetyzacja zagrożonych tożsamości cyfrowych
Ta kampania ilustruje szerszy trend w cyberprzestępczości: komodyfikację tożsamości cyfrowych. Zhakowane konta na Facebooku to nie tylko punkty końcowe, ale cenne aktywa na kwitnącym podziemnym rynku.
Atakujący wymieniają się dostępem do kont na podstawie takich czynników, jak powiązania biznesowe, historia reklamowa i potencjał odzyskiwania. Operacja ta pokazuje, jak zaufane platformy, takie jak Google AppSheet, Netlify, Vercel i inne, są wykorzystywane jako warstwy infrastruktury do dostarczania, hostingu i monetyzacji.
Kampania AccountDumpling stanowi wyraźny przykład tego, w jaki sposób współcześni cyberprzestępcy integrują socjotechnikę, usługi w chmurze i podziemną gospodarkę, tworząc spójne i skalowalne przedsięwzięcie cyberprzestępcze.
