Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing Campanha de phishing AccountDumpling

Campanha de phishing AccountDumpling

Por Mezo em Phishing
Traduzir Para:

Uma campanha cibercriminosa em larga escala, atribuída a um grupo de ameaças ligado ao Vietnã e denominada AccountDumpling, foi identificada utilizando o Google AppSheet como mecanismo de retransmissão de phishing. Essa operação distribui e-mails fraudulentos com o objetivo principal de comprometer contas do Facebook, especialmente aquelas associadas a usuários corporativos.

Ao contrário das campanhas de phishing convencionais, esta não é uma ferramenta estática, mas sim um ecossistema dinâmico e em constante evolução. Incorpora painéis de controle operacionais em tempo real, técnicas avançadas de evasão e um fluxo de monetização estruturado. As contas roubadas são redirecionadas para um mercado clandestino controlado pelos atacantes, criando um ciclo criminoso autossustentável. Aproximadamente 30.000 contas do Facebook foram comprometidas como parte desta campanha.

Confiança Armamentizada: Explorando o Google AppSheet para Entrega de E-mails

A cadeia de ataques começa com e-mails de phishing cuidadosamente elaborados, que se fazem passar pelo Suporte da Meta. Essas mensagens têm como alvo os titulares de contas comerciais do Facebook, alertando-os sobre a iminente exclusão da conta, a menos que tomem medidas imediatas. As vítimas são incentivadas a enviar recursos por meio de links incorporados.

Um fator crucial para a eficácia da campanha é o uso de infraestrutura legítima. Os e-mails são enviados de um endereço do Google AppSheet ('noreply@appsheet.com'), o que lhes permite contornar muitos filtros tradicionais de spam e segurança. Essa tática aumenta a credibilidade e a probabilidade de engajamento do usuário.

A urgência transmitida nessas mensagens direciona os destinatários para sites fraudulentos criados para coletar informações confidenciais. Padrões de ataque semelhantes foram observados em campanhas anteriores, indicando o aprimoramento contínuo e a reutilização de técnicas bem-sucedidas.

Manipulação Psicológica: Engenharia do 'Meta Pânico'

Os atacantes empregam uma variedade de iscas de engenharia social para provocar pânico e forçar uma resposta rápida do usuário. Essas iscas são estrategicamente projetadas para imitar comunicações legítimas em plataformas de mensagens e explorar cenários baseados no medo.

As principais categorias de iscas incluem:

Ameaças relacionadas à conta : Alegações de suspensão de conta, violações de direitos autorais ou requisitos urgentes de verificação.
Alertas de segurança : Notificações de logins suspeitos ou verificações de segurança obrigatórias.
Incentivos empresariais e de status : ofertas de verificação de crachá azul ou oportunidades de recrutamento executivo.
Falsificação de identidade corporativa : Ofertas de emprego falsas de marcas conhecidas para gerar confiança e iniciar engajamento.

Cada isca é elaborada especificamente para manipular o comportamento do usuário, aumentando a probabilidade de divulgação de credenciais.

Infraestrutura de phishing multicanal: diversos mecanismos de distribuição

A campanha caracteriza-se pela utilização de múltiplas plataformas de hospedagem e métodos de distribuição, cada um desempenhando um papel específico na coleta e exfiltração de dados. Os quatro principais grupos de ataque incluem:

  • Páginas de phishing hospedadas na Netlify: Portais falsos da Central de Ajuda do Facebook, criados para capturar credenciais de login, dados pessoais e documentos de identificação emitidos pelo governo. Os dados coletados são transmitidos para canais do Telegram controlados pelo atacante.
  • Páginas de "Verificação de Segurança" hospedadas pela Vercel: Essas páginas simulam portais de privacidade ou segurança da Meta e incluem falsos desafios CAPTCHA. As vítimas são solicitadas a inserir novamente suas credenciais e fornecer códigos de autenticação de dois fatores (2FA), que são exfiltrados em tempo real.
  • Armadilhas em PDF hospedadas no Google Drive: Disfarçados de instruções oficiais de verificação, esses documentos redirecionam os usuários para páginas de phishing que coletam senhas, códigos de autenticação de dois fatores (2FA), fotos de documentos de identidade e até mesmo capturas de tela do navegador usando scripts incorporados.
  • Fluxos de trabalho de recrutamento falsos: Falsificação de identidade de grandes empresas para estabelecer credibilidade, seguida de redirecionamento para plataformas maliciosas para maior interação e coleta de dados.

Em conjunto, os canais do Telegram ligados a esses grupos contêm aproximadamente 30.000 registros de vítimas. Os indivíduos afetados estão predominantemente localizados na América do Norte, Europa, Ásia e Austrália, muitos dos quais perderam o acesso às suas contas.

Análises de Atribuição: Rastreando os Atores por Trás da Campanha

Evidências cruciais de atribuição surgiram dos metadados incorporados nos PDFs de phishing gerados por meio de uma conta gratuita do Canva. Os arquivos listam 'PHẠM TÀI TÂN' como autor, fornecendo um link direto para o indivíduo potencialmente responsável pela operação.

Informações adicionais obtidas por meio de fontes abertas revelaram um site correspondente, 'phamtaitan.vn', que promove serviços de marketing digital. Declarações públicas associadas a essa entidade indicam um foco em recursos de marketing e consultoria estratégica, sugerindo uma habilidade de uso duplo que pode ser aproveitada tanto para fins legítimos quanto maliciosos.

A economia subterrânea: monetizando identidades digitais comprometidas.

Esta campanha ilustra uma tendência mais ampla no cibercrime: a mercantilização das identidades digitais. Contas do Facebook comprometidas não são meros pontos de acesso, mas ativos valiosos em um próspero mercado clandestino.

Os atacantes negociam o acesso a contas com base em fatores como vínculo comercial, histórico de publicidade e potencial de recuperação. A operação demonstra como plataformas confiáveis, como Google AppSheet, Netlify, Vercel e outras, estão sendo reaproveitadas como camadas de infraestrutura para distribuição, hospedagem e monetização.

A campanha AccountDumpling serve como um exemplo claro de como os agentes de ameaças modernos integram engenharia social, serviços em nuvem e economia subterrânea em uma organização cibercriminosa coesa e escalável.

Tendendo

Mais visto

Carregando...