Фишинговая кампания AccountDumpling
Выявлена масштабная киберпреступная кампания, приписываемая связанной с Вьетнамом мошеннической группе и получившая название AccountDumpling, которая использует Google AppSheet в качестве механизма фишинговой рассылки. Эта операция распространяет обманные электронные письма с основной целью взлома учетных записей Facebook, особенно тех, которые принадлежат корпоративным пользователям.
В отличие от традиционных фишинговых кампаний, это не статичный набор инструментов, а динамичная и постоянно развивающаяся экосистема. Она включает в себя панели управления в реальном времени, передовые методы обхода защиты и структурированную систему монетизации. Украденные аккаунты перенаправляются на подпольный рынок, контролируемый злоумышленниками, создавая самоподдерживающийся преступный цикл. В рамках этой кампании было взломано около 30 000 аккаунтов Facebook.
Оглавление
Использование доверия в качестве оружия: эксплуатация Google AppSheet для доставки электронной почты
Цепочка атак начинается с тщательно составленных фишинговых писем, имитирующих сообщения службы поддержки Meta. Эти сообщения нацелены на владельцев бизнес-аккаунтов Facebook, предупреждая их о скором удалении аккаунта, если не будут приняты незамедлительные меры. Жертвам настоятельно рекомендуется подать апелляцию, используя встроенные ссылки.
Ключевым фактором эффективности кампании является использование легитимной инфраструктуры. Электронные письма отправляются с адреса Google AppSheet («noreply@appsheet.com»), что позволяет им обходить многие традиционные спам-фильтры и фильтры безопасности. Эта тактика повышает доверие и увеличивает вероятность вовлечения пользователей.
Срочность, передаваемая в этих сообщениях, направляет получателей на мошеннические веб-сайты, предназначенные для сбора конфиденциальных учетных данных. Аналогичные схемы атак наблюдались и в предыдущих кампаниях, что указывает на постоянное совершенствование и повторное использование успешных методов.
Психологическая манипуляция: создание «метапаники».
Злоумышленники используют различные методы социальной инженерии, чтобы вызвать панику и заставить пользователей быстро реагировать. Эти методы стратегически разработаны таким образом, чтобы имитировать легитимные коммуникации в Meta и использовать ситуации, основанные на страхе.
К основным категориям приманок относятся:
Угрозы, связанные с учетной записью : заявления о блокировке учетной записи, нарушении авторских прав или требованиях к срочной проверке.
Оповещения о безопасности : уведомления о подозрительных входах в систему или обязательных проверках безопасности.
Поощрения за успех в бизнесе и повышение статуса : предложения по подтверждению наличия синего парковочного значка или возможности трудоустройства на руководящие должности.
Имитация корпоративных контактов : поддельные предложения о работе от известных брендов для укрепления доверия и привлечения внимания.
Каждая приманка разработана таким образом, чтобы манипулировать поведением пользователя, повышая вероятность раскрытия учетных данных.
Многоканальная фишинговая инфраструктура: разнообразные механизмы доставки.
Характерной чертой этой кампании является использование множества хостинговых платформ и методов доставки, каждый из которых выполняет определенную роль в сборе и утечке данных. Четыре основных группы атак включают в себя:
- Фишинговые страницы, размещенные на Netlify: поддельные порталы справочного центра Facebook, предназначенные для сбора учетных данных, личных данных и удостоверений личности государственного образца. Собранные данные передаются в контролируемые злоумышленниками каналы Telegram.
- Страницы «Проверки безопасности», размещенные на серверах Vercel: эти страницы имитируют порталы конфиденциальности или безопасности Meta и содержат поддельные CAPTCHA-запросы. Жертвам предлагается повторно ввести учетные данные и коды двухфакторной аутентификации (2FA), которые затем в режиме реального времени похищаются.
- PDF-файлы, размещенные на Google Drive, служат приманкой: замаскированные под официальные инструкции по проверке, эти документы перенаправляют пользователей на фишинговые страницы, которые собирают пароли, коды двухфакторной аутентификации, фотографии удостоверений личности и даже скриншоты браузера с помощью встроенных скриптов.
- Мошеннические схемы найма: выдача себя за крупные компании для создания видимости надежности, за которой следует перенаправление на вредоносные платформы для дальнейшего взаимодействия и сбора данных.
В совокупности каналы Telegram, связанные с этими группами, содержат около 30 000 записей о пострадавших. Пострадавшие лица преимущественно проживают в Северной Америке, Европе, Азии и Австралии, и многие из них потеряли доступ к своим аккаунтам.
Анализ источников: отслеживание действующих лиц, стоящих за кампанией.
Важные доказательства причастности к фишинговой атаке были получены из метаданных, встроенных в фишинговые PDF-файлы, созданные с помощью бесплатной учетной записи Canva. В файлах в качестве автора указано «PHẠM TÀI TÂN», что обеспечивает прямую связь с лицом, потенциально ответственным за операцию.
Дальнейшие исследования на основе открытых источников выявили соответствующий веб-сайт «phamtaitan.vn», который рекламирует услуги цифрового маркетинга. Публичные заявления, связанные с этой организацией, указывают на ориентацию на маркетинговые ресурсы и стратегическое консультирование, что предполагает наличие навыков двойного назначения, которые могут использоваться как в законных, так и в злонамеренных целях.
Подпольная экономика: монетизация скомпрометированных цифровых удостоверений личности.
Эта кампания иллюстрирует более широкую тенденцию в киберпреступности: коммерциализацию цифровых личностей. Взломанные аккаунты Facebook — это не просто конечные точки, а ценные активы на процветающем подпольном рынке.
Злоумышленники обмениваются доступом к учетным записям, основываясь на таких факторах, как принадлежность к бизнесу, история рекламных кампаний и потенциальная возможность восстановления доступа. Эта операция демонстрирует, как доверенные платформы, такие как Google AppSheet, Netlify, Vercel и другие, перепрофилируются в качестве инфраструктурных уровней для доставки, хостинга и монетизации.
Кампания AccountDumpling служит наглядным примером того, как современные злоумышленники интегрируют социальную инженерию, облачные сервисы и подпольную экономику в целостную и масштабируемую киберпреступную структуру.
