Фишинг кампања на AccountDumpling-у

Идентификована је велика сајбер криминална кампања, приписана групи претњи повезаној са Вијетнамом и названа AccountDumpling, која користи Google AppSheet као механизам за фишинг релеј. Ова операција дистрибуира обмањујуће имејлове са примарним циљем угрожавања Фејсбук налога, посебно оних повезаних са пословним корисницима.

За разлику од конвенционалних фишинг кампања, ово није статички алат, већ динамичан и континуирано еволуирајући екосистем. Он укључује контролне табле оператера у реалном времену, напредне технике избегавања и структурирани процес монетизације. Украдени налози се враћају у подземно тржиште које контролишу нападачи, стварајући самоодрживу криминалну петљу. Приближно 30.000 Фејсбук налога је угрожено као део ове кампање.

Оружјено поверење: Искоришћавање Google AppSheet-а за испоруку имејлова

Ланац напада почиње пажљиво осмишљеним фишинг имејловима који се лажно представљају као Мета подршка. Ове поруке циљају власнике Фејсбук пословних налога, упозоравајући их на предстојеће брисање налога уколико се не предузму хитне мере. Жртве се позивају да поднесу жалбе путем уграђених линкова.

Кључни фактор ефикасности кампање је коришћење легитимне инфраструктуре. Имејлови се шаљу са Google AppSheet адресе („noreply@appsheet.com“), што им омогућава да заобиђу многе традиционалне филтере за спам и безбедност. Ова тактика повећава кредибилитет и повећава вероватноћу ангажовања корисника.

Хитност која се преноси у овим порукама усмерава примаоце ка лажним веб-сајтовима дизајнираним за прикупљање осетљивих података о личности. Слични обрасци напада примећени су и у ранијим кампањама, што указује на континуирано усавршавање и поновну употребу успешних техника.

Психолошка манипулација: Инжењеринг „мета панике“

Нападачи користе разне мамце социјалног инжењеринга како би изазвали панику и приморали кориснике на брзу реакцију. Ови мамци су стратешки дизајнирани да имитирају легитимну мета комуникацију и искористе сценарије засноване на страху.

Главне категорије мамаца укључују:

Претње везане за налог : Тврдње о суспензији налога, кршењу ауторских права или захтевима за хитну верификацију
Безбедносна упозорења : Обавештења о сумњивим пријављивањима или обавезним безбедносним проверама
Пословни и статусни подстицаји : Понуде за верификацију плаве значке или могућности за запошљавање руководилаца
Корпоративно представљање : Лажне понуде за посао од познатих брендова ради изградње поверења и покретања ангажовања

Сваки мамац је прилагођен да манипулише понашањем корисника, повећавајући вероватноћу откривања акредитива.

Вишеканална фишинг инфраструктура: Разноврсни механизми испоруке

Кампању карактерише коришћење више платформи за хостовање и метода испоруке, од којих свака има специфичну улогу у прикупљању и крађи података. Четири примарна кластера напада укључују:

• Фишинг странице хостоване на Netlify-у: Лажни портали центра за помоћ Фејсбука дизајнирани за хватање података за пријаву, личних података и идентификационих докумената које је издала влада. Прикупљени подаци се преносе на Телеграм канале које контролишу нападачи.
• Странице „Безбедносне провере“ које хостује Vercel: Ове странице симулирају портале за приватност или безбедност мета података и укључују лажне CAPTCHA изазове. Жртве се позивају да поново унесу акредитиве и наведу кодове за двофакторску аутентификацију (2FA), а сви се отимају у реалном времену.
• Мамци за PDF-ове хостоване на Google диску: Прерушени у званична упутства за верификацију, ови документи преусмеравају кориснике на фишинг странице које прикупљају лозинке, 2FA кодове, фотографије за личне карте, па чак и снимке екрана прегледача користећи уграђене скрипте.
• Лажни токови рада у регрутовању: Лажно представљање великих компанија ради успостављања кредибилитета, након чега следи преусмеравање на злонамерне платформе ради даље интеракције и прикупљања података.

Заједно, Телеграм канали повезани са овим кластерима садрже приближно 30.000 записа о жртвама. Погођене особе се претежно налазе широм Северне Америке, Европе, Азије и Аустралије, а многе од њих су изгубиле приступ својим налозима.

Увиди у атрибуцију: Праћење актера који стоје иза кампање

Кључни докази о атрибуцији појавили су се из метаподатака уграђених у фишинг PDF-ове генерисане путем бесплатног Canva налога. Датотеке наводе „PHẠM TÀI TÂN“ као аутора, пружајући директну везу до особе потенцијално одговорне за операцију.

Даљим обавештајним подацима из отвореног кода откривена је одговарајућа веб страница, „phamtaitan.vn“, која промовише услуге дигиталног маркетинга. Јавне изјаве повезане са овим ентитетом указују на фокус на маркетиншке ресурсе и стратешко консултовање, што сугерише скуп вештина двоструке намене који се може користити и у легитимне и у злонамерне сврхе.

Сива економија: Монетизација угрожених дигиталних идентитета

Ова кампања илуструје шири тренд у сајбер криминалу: комерцијализацију дигиталних идентитета. Компромитовани Фејсбук налози нису само крајње тачке већ вредна имовина у оквиру процватног подземног тржишта.

Нападачи тргују приступом налозима на основу фактора као што су пословна повезаност, историја оглашавања и потенцијал за опоравак. Операција показује како се поуздане платформе, Google AppSheet, Netlify, Vercel и друге, пренамењују у инфраструктурне слојеве за испоруку, хостовање и монетизацију.

Кампања AccountDumpling служи као јасан пример како модерни актери претњи интегришу друштвени инжењеринг, услуге у облаку и подземну економију у кохезивно и скалабилно сајбер криминално предузеће.