Rabattoffert för flera licenser
Hotdatabas Nätfiske AccountDumpling Phishing-kampanj

AccountDumpling Phishing-kampanj

Med Mezo år Nätfiske
Översätt till:

En storskalig cyberkriminell kampanj, tillskriven en Vietnam-kopplad hotgrupp och kallad AccountDumpling, har identifierats genom att utnyttja Google AppSheet som en nätfiskeförmedlingsmekanism. Denna operation distribuerar vilseledande e-postmeddelanden med det primära målet att kompromettera Facebook-konton, särskilt de som är kopplade till företagsanvändare.

Till skillnad från konventionella nätfiskekampanjer är detta inte en statisk verktygslåda utan ett dynamiskt och kontinuerligt föränderligt ekosystem. Det innehåller operatörsdashboards i realtid, avancerade undanflyktstekniker och en strukturerad intäktsgenereringsprocess. Stulna konton slussas tillbaka till en underjordisk marknadsplats som kontrolleras av angriparna, vilket skapar en självförsörjande kriminell loop. Cirka 30 000 Facebook-konton har komprometterats som en del av denna kampanj.

Vapenbaserat förtroende: Utnyttjande av Google AppSheet för e-postleverans

Attackkedjan börjar med noggrant utformade nätfiskemejl som utger sig för att vara Meta Support. Dessa meddelanden riktar sig till innehavare av Facebook Business-konton och varnar dem för att kontot snart raderas om inte omedelbara åtgärder vidtas. Offren uppmanas att överklaga via inbäddade länkar.

En nyckelfaktor för kampanjens effektivitet är användningen av legitim infrastruktur. E-postmeddelanden skickas från en Google AppSheet-adress ('noreply@appsheet.com'), vilket gör att de kan kringgå många traditionella skräppost- och säkerhetsfilter. Denna taktik ökar trovärdigheten och ökar sannolikheten för användarengagemang.

Den brådska som förmedlas i dessa meddelanden leder mottagarna till bedrägliga webbplatser som är utformade för att stjäla känsliga inloggningsuppgifter. Liknande attackmönster observerades i tidigare kampanjer, vilket tyder på fortsatt förfining och återanvändning av framgångsrika tekniker.

Psykologisk manipulation: Ingenjörskonstens “metapanik”

Angriparna använder en mängd olika sociala ingenjörskonstgrepp för att utlösa panik och tvinga fram snabba användarresponser. Dessa lockbeten är strategiskt utformade för att imitera legitim metakommunikation och utnyttja rädslobaserade scenarier.

De primära beteskategorierna inkluderar:

Kontorelaterade hot : Påståenden om kontoavstängning, upphovsrättsintrång eller brådskande verifieringskrav
Säkerhetsvarningar : Meddelanden om misstänkta inloggningar eller obligatoriska säkerhetskontroller
Affärs- och statusincitament : Erbjudanden för verifiering av blåmärken eller möjligheter till rekrytering av chefer
Företagsimitation : Falska jobberbjudanden från välkända varumärken för att bygga förtroende och initiera engagemang

Varje lockbete är skräddarsytt för att manipulera användarbeteende, vilket ökar sannolikheten för att inloggningsuppgifter avslöjas.

Flerkanalig nätfiskeinfrastruktur: Olika leveransmekanismer

Kampanjen kännetecknas av användningen av flera webbhotellsplattformar och leveransmetoder, där var och en har en specifik roll i datainsamling och exfiltrering. De fyra primära attackklustren inkluderar:

  • Netlify-hostade nätfiskesidor: Falska Facebooks hjälpcenterportaler utformade för att samla in inloggningsuppgifter, personuppgifter och myndighetsutfärdad identifikation. Insamlad data överförs till angriparkontrollerade Telegram-kanaler.
  • Vercel-hostade "Säkerhetskontroll"-sidor: Dessa sidor simulerar Meta-sekretess- eller säkerhetsportaler och innehåller falska CAPTCHA-utmaningar. Offren uppmanas att ange inloggningsuppgifter igen och tillhandahålla tvåfaktorsautentiseringskoder (2FA), vilka alla stängs av i realtid.
  • Google Drive-baserade PDF-lockbete: Förklädda som officiella verifieringsinstruktioner omdirigerar dessa dokument användare till nätfiskesidor som samlar in lösenord, 2FA-koder, ID-foton och till och med skärmdumpar från webbläsare med hjälp av inbäddade skript.
  • Falska rekryteringsarbetsflöden: Utgivning av identiteter som stora företag för att etablera trovärdighet, följt av omdirigering till skadliga plattformar för vidare interaktion och datainsamling.

Tillsammans innehåller Telegram-kanalerna som är kopplade till dessa kluster cirka 30 000 offerregister. De drabbade individerna finns huvudsakligen i Nordamerika, Europa, Asien och Australien, av vilka många har förlorat åtkomsten till sina konton.

Attribueringsinsikter: Spåra aktörerna bakom kampanjen

Kritiska bevis för attribution framkom från metadata inbäddade i nätfiske-PDF:erna som genererades via ett gratis Canva-konto. Filerna listar 'PHẠM TÀI TÂN' som författare, vilket ger en direkt länk till den person som potentiellt är ansvarig för operationen.

Ytterligare information från öppen källkod avslöjade en motsvarande webbplats, 'phamtaitan.vn', som marknadsför digitala marknadsföringstjänster. Offentliga uttalanden med koppling till denna enhet indikerar ett fokus på marknadsföringsresurser och strategisk konsultverksamhet, vilket tyder på en kompetens med dubbla användningsområden som kan utnyttjas för både legitima och skadliga syften.

Den underjordiska ekonomin: Att tjäna pengar på komprometterade digitala identiteter

Denna kampanj illustrerar en bredare trend inom cyberbrottslighet: kommodifieringen av digitala identiteter. Kompromitterade Facebook-konton är inte bara slutpunkter utan värdefulla tillgångar på en blomstrande underjordisk marknadsplats.

Angripare byter åtkomst till konton baserat på faktorer som affärstillhörighet, annonshistorik och återställningspotential. Operationen visar hur betrodda plattformar, Google AppSheet, Netlify, Vercel och andra, omvandlas till infrastrukturlager för leverans, hosting och intäktsgenerering.

AccountDumpling-kampanjen fungerar som ett tydligt exempel på hur moderna hotaktörer integrerar social ingenjörskonst, molntjänster och undergroundekonomi i ett sammanhängande och skalbart cyberkriminellt företag.

Trendigt

Mest sedda

Läser in...