Kampanja lažnega predstavljanja AccountDumpling
Ugotovljeno je bilo, da obsežna kibernetska kriminalna kampanja, pripisana z Vietnamom povezani skupini za grožnje in poimenovana AccountDumpling, uporablja Google AppSheet kot mehanizem za lažno predstavljanje. Ta operacija distribuira zavajajoča e-poštna sporočila z glavnim ciljem ogrožanja Facebook računov, zlasti tistih, povezanih s poslovnimi uporabniki.
Za razliko od običajnih phishing kampanj to ni statičen nabor orodij, temveč dinamičen in nenehno razvijajoč se ekosistem. Vključuje nadzorne plošče za operaterje v realnem času, napredne tehnike izogibanja in strukturiran cevovod monetizacije. Ukradeni računi se usmerijo nazaj v podzemni trg, ki ga nadzorujejo napadalci, kar ustvarja samozadostno kriminalno zanko. V okviru te kampanje je bilo ogroženih približno 30.000 Facebook računov.
Kazalo
Orožje zaupanja: izkoriščanje Google AppSheet za dostavo e-pošte
Veriga napadov se začne s skrbno oblikovanimi lažnimi e-poštnimi sporočili, v katerih se izdajajo za podporo Meta. Ta sporočila so namenjena imetnikom poslovnih računov na Facebooku in jih opozarjajo na skorajšnjo odstranitev računa, če ne bodo takoj ukrepali. Žrtve pozivajo, naj oddajo pritožbe prek vdelanih povezav.
Ključni dejavnik učinkovitosti kampanje je uporaba legitimne infrastrukture. E-poštna sporočila se pošiljajo z naslova Google AppSheet (»noreply@appsheet.com«), kar jim omogoča, da zaobidejo številne tradicionalne filtre za neželeno pošto in varnostne filtre. Ta taktika povečuje verodostojnost in verjetnost sodelovanja uporabnikov.
Nujnost, ki jo izražajo ta sporočila, usmerja prejemnike na goljufiva spletna mesta, namenjena pridobivanju občutljivih podatkov. Podobni vzorci napadov so bili opaženi že v prejšnjih kampanjah, kar kaže na nenehno izpopolnjevanje in ponovno uporabo uspešnih tehnik.
Psihološka manipulacija: Inženiring 'meta panike'
Napadalci uporabljajo različne vabe socialnega inženiringa, da bi sprožili paniko in prisilili uporabnike k hitremu odzivu. Te vabe so strateško zasnovane tako, da posnemajo legitimno meta komunikacijo in izkoriščajo scenarije, ki temeljijo na strahu.
Glavne kategorije vab vključujejo:
Grožnje, povezane z računom : Trditve o začasni ukinitvi računa, kršitvah avtorskih pravic ali zahtevah po nujnem preverjanju
Varnostna opozorila : Obvestila o sumljivih prijavah ali obveznih varnostnih pregledih
Poslovne in statusne spodbude : ponudbe za preverjanje modre značke ali priložnosti za zaposlovanje vodilnih delavcev
Lažno predstavljanje kot nekdo drug : Lažne ponudbe za delo znanih blagovnih znamk za vzpostavitev zaupanja in spodbujanje sodelovanja.
Vsaka vaba je prilagojena tako, da manipulira z vedenjem uporabnika, kar povečuje verjetnost razkritja poverilnic.
Večkanalna infrastruktura za lažno predstavljanje: Različni mehanizmi dostave
Za kampanjo je značilna uporaba več platform za gostovanje in načinov dostave, od katerih ima vsaka svojo vlogo pri zbiranju in izkrcavanju podatkov. Štiri glavne skupine napadov vključujejo:
- Lažne strani, ki jih gosti Netlify: Lažni portali centra za pomoč Facebooka, namenjeni zajemanju prijavnih podatkov, osebnih podatkov in identifikacijskih dokumentov, ki jih je izdala vlada. Zbrani podatki se prenašajo v kanale Telegram, ki jih nadzorujejo napadalci.
- Strani »Varnostno preverjanje«, ki jih gosti Vercel: Te strani simulirajo portale za zasebnost ali varnost meta podatkov in vključujejo lažne izzive CAPTCHA. Žrtve morajo ponovno vnesti poverilnice in navesti kode za dvofaktorsko preverjanje pristnosti (2FA), ki se vse skupaj pobere v realnem času.
- Vabe PDF-jev, ki jih gosti Google Drive: Ti dokumenti, prikriti kot uradna navodila za preverjanje, uporabnike preusmerjajo na strani za lažno predstavljanje, ki z vdelanimi skripti zbirajo gesla, kode 2FA, fotografije osebnih dokumentov in celo posnetke zaslona brskalnika.
- Lažni delovni procesi zaposlovanja: Predstavljanje velikih podjetij za vzpostavitev verodostojnosti, ki mu sledi preusmeritev na zlonamerne platforme za nadaljnjo interakcijo in zbiranje podatkov.
Telegramovi kanali, povezani s temi skupinami, skupaj vsebujejo približno 30.000 zapisov o žrtvah. Prizadeti posamezniki se nahajajo predvsem v Severni Ameriki, Evropi, Aziji in Avstraliji, mnogi od njih pa so izgubili dostop do svojih računov.
Vpogledi v pripisovanje: Sledenje akterjem, ki stojijo za kampanjo
Ključni dokazi o pripisovanju so se pojavili iz metapodatkov, vdelanih v PDF-je z lažnim predstavljanjem, ustvarjene prek brezplačnega računa Canva. V datotekah je kot avtor naveden »PHẠM TÀI TÂN«, kar zagotavlja neposredno povezavo do posameznika, ki bi lahko bil odgovoren za operacijo.
Nadaljnje obveščevalne informacije iz odprtih virov so razkrile ustrezno spletno mesto »phamtaitan.vn«, ki promovira storitve digitalnega trženja. Javne izjave, povezane s to entiteto, kažejo na osredotočenost na marketinške vire in strateško svetovanje, kar nakazuje na dvojno rabo znanj in spretnosti, ki se lahko izkoriščajo tako za legitimne kot za zlonamerne namene.
Podzemna ekonomija: Monetizacija ogroženih digitalnih identitet
Ta kampanja ponazarja širši trend kibernetske kriminalitete: komodifikacijo digitalnih identitet. Ogroženi Facebook računi niso zgolj končne točke, temveč dragocena sredstva znotraj cvetočega podzemnega trga.
Napadalci trgujejo z dostopom do računov na podlagi dejavnikov, kot so poslovna povezanost, zgodovina oglaševanja in potencial za obnovitev. Operacija prikazuje, kako se zaupanja vredne platforme, kot so Google AppSheet, Netlify, Vercel in druge, preurejajo v infrastrukturne plasti za dostavo, gostovanje in monetizacijo.
Kampanja AccountDumpling je jasen primer, kako sodobni akterji groženj integrirajo socialni inženiring, storitve v oblaku in podzemno ekonomijo v povezano in prilagodljivo kibernetski kriminalno podjetje.
