Campanie de phishing AccountDumpling
O campanie cibernetică la scară largă, atribuită unui grup de amenințări cu legături cu Vietnamul și denumită AccountDumpling, a fost identificată utilizând Google AppSheet ca mecanism de retransmitere a atacurilor de tip phishing. Această operațiune distribuie e-mailuri înșelătoare cu obiectivul principal de a compromite conturile de Facebook, în special pe cele asociate utilizatorilor business.
Spre deosebire de campaniile convenționale de phishing, aceasta nu este o unealtă statică, ci un ecosistem dinamic și în continuă evoluție. Include tablouri de bord pentru operatori în timp real, tehnici avansate de evitare a atacurilor și o rețea structurată de monetizare. Conturile furate sunt canalizate înapoi către o piață subterană controlată de atacatori, creând o buclă infracțională autosustenabilă. Aproximativ 30.000 de conturi de Facebook au fost compromise ca parte a acestei campanii.
Cuprins
Încredere transformată în armă: Exploatarea Google AppSheet pentru livrarea de e-mailuri
Lanțul de atac începe cu e-mailuri de phishing atent elaborate, care se dau drept parteneri de asistență Meta. Aceste mesaje vizează deținătorii de conturi Facebook Business, avertizându-i cu privire la ștergerea iminentă a contului, dacă nu se iau măsuri imediate. Victimele sunt îndemnate să trimită apeluri prin linkuri încorporate.
Un factor cheie în eficacitatea campaniei este utilizarea unei infrastructuri legitime. E-mailurile sunt trimise de la o adresă Google AppSheet („noreply@appsheet.com”), ceea ce le permite să ocolească multe filtre tradiționale de spam și securitate. Această tactică sporește credibilitatea și crește probabilitatea de implicare a utilizatorilor.
Urgența transmisă în aceste mesaje direcționează destinatarii către site-uri web frauduloase, concepute pentru a colecta date de autentificare sensibile. Modele de atac similare au fost observate și în campaniile anterioare, indicând o rafinare și o reutilizare continuă a tehnicilor de succes.
Manipulare psihologică: Meta-panică inginerească
Atacatorii folosesc o varietate de momeli de inginerie socială pentru a declanșa panică și a impune utilizatorilor un răspuns rapid. Aceste momeli sunt concepute strategic pentru a imita comunicări Meta legitime și a exploata scenarii bazate pe frică.
Principalele categorii de momeli includ:
Amenințări legate de cont : Reclamații privind suspendarea contului, încălcarea drepturilor de autor sau cerințe urgente de verificare
Alerte de securitate : Notificări privind conectările suspecte sau verificări de securitate obligatorii
Stimulente pentru afaceri și statut : Oferte de verificare a insignei albastre sau oportunități de recrutare pentru directori
Impersonare corporativă : Oferte de muncă false de la branduri cunoscute pentru a construi încredere și a iniția interacțiunea
Fiecare momeală este adaptată pentru a manipula comportamentul utilizatorului, crescând probabilitatea dezvăluirii acreditărilor.
Infrastructură de phishing multicanal: Mecanisme de livrare diverse
Campania se caracterizează prin utilizarea mai multor platforme de găzduire și metode de livrare, fiecare având un rol specific în colectarea și exfiltrarea datelor. Cele patru clustere principale de atac includ:
- Pagini de phishing găzduite de Netlify: Portaluri false ale Centrului de ajutor Facebook, concepute pentru a captura credențiale de conectare, date personale și acte de identificare emise de guvern. Datele colectate sunt transmise către canale Telegram controlate de atacatori.
- Pagini „Verificare de securitate” găzduite de Vercel: Aceste pagini simulează portaluri de confidențialitate sau securitate Meta și includ provocări CAPTCHA false. Victimele sunt solicitate să reintroducă datele de autentificare și să furnizeze coduri de autentificare cu doi factori (2FA), toate acestea fiind extrase în timp real.
- Momeală PDF găzduită de Google Drive: Deghizate în instrucțiuni oficiale de verificare, aceste documente redirecționează utilizatorii către pagini de phishing care colectează parole, coduri 2FA, fotografii de identificare și chiar capturi de ecran ale browserului folosind scripturi încorporate.
- Fluxuri de lucru false de recrutare: uzurparea identității unor companii importante pentru a stabili credibilitatea, urmată de redirecționarea către platforme rău intenționate pentru interacțiune ulterioară și colectarea de date.
Împreună, canalele Telegram conectate la aceste grupuri conțin aproximativ 30.000 de înregistrări ale victimelor. Persoanele afectate se află predominant în America de Nord, Europa, Asia și Australia, multe dintre ele pierzând accesul la conturile lor.
Atribution Insights: Urmărirea actorilor din spatele campaniei
Dovezi esențiale de atribuire au apărut din metadatele încorporate în PDF-urile de phishing generate prin intermediul unui cont Canva gratuit. Fișierele îl menționează pe „PHẠM TÀI TÂN” ca autor, oferind o legătură directă către persoana potențial responsabilă pentru operațiune.
Informații suplimentare din surse deschise au dezvăluit un site web corespunzător, „phamtaitan.vn”, care promovează servicii de marketing digital. Declarațiile publice asociate cu această entitate indică o concentrare pe resurse de marketing și consultanță strategică, sugerând un set de competențe cu dublă utilizare care poate fi valorificat atât în scopuri legitime, cât și rău intenționate.
Economia subterană: Monetizarea identităților digitale compromise
Această campanie ilustrează o tendință mai amplă în criminalitatea cibernetică: comercializarea identităților digitale. Conturile de Facebook compromise nu sunt doar puncte finale, ci active valoroase pe o piață subterană înfloritoare.
Atacatorii schimbă accesul la conturi pe baza unor factori precum afilierea comercială, istoricul publicitar și potențialul de recuperare. Operațiunea demonstrează modul în care platformele de încredere, Google AppSheet, Netlify, Vercel și altele, sunt reutilizate ca niveluri de infrastructură pentru livrare, găzduire și monetizare.
Campania AccountDumpling servește drept exemplu clar al modului în care actorii moderni de amenințare integrează ingineria socială, serviciile cloud și economia subterană într-o întreprindere cibernetică coezivă și scalabilă.
