Kampanya ng Phishing sa AccountDumpling

Isang malawakang kampanya sa cybercriminal, na iniuugnay sa isang grupong may kaugnayan sa Vietnam at tinaguriang AccountDumpling, ang natukoy na gumagamit ng Google AppSheet bilang mekanismo ng phishing relay. Ang operasyong ito ay namamahagi ng mga mapanlinlang na email na may pangunahing layunin na ikompromiso ang mga Facebook account, lalo na ang mga nauugnay sa mga gumagamit ng negosyo.

Hindi tulad ng mga kumbensyonal na kampanya sa phishing, hindi ito isang static toolkit kundi isang dynamic at patuloy na umuunlad na ecosystem. Isinasama nito ang mga real-time operator dashboard, mga advanced na pamamaraan sa pag-iwas, at isang nakabalangkas na pipeline ng monetization. Ang mga ninakaw na account ay ibinabalik sa isang underground marketplace na kontrolado ng mga umaatake, na lumilikha ng isang self-sustaining criminal loop. Humigit-kumulang 30,000 Facebook account ang nakompromiso bilang bahagi ng kampanyang ito.

Tiwala na Nagagamit sa Sandata: Paggamit ng Google AppSheet para sa Paghahatid ng Email

Ang kadena ng pag-atake ay nagsisimula sa maingat na ginawang mga phishing email na nagpapanggap na Meta Support. Ang mga mensaheng ito ay nagta-target sa mga may-ari ng Facebook Business account, na nagbabala sa kanila ng nalalapit na pagbura ng account maliban kung may agarang aksyon na gagawin. Hinihimok ang mga biktima na magsumite ng mga apela sa pamamagitan ng mga naka-embed na link.

Isang mahalagang salik sa bisa ng kampanya ay ang paggamit ng lehitimong imprastraktura. Ang mga email ay ipinapadala mula sa isang Google AppSheet address ('noreply@appsheet.com'), na nagbibigay-daan sa kanila na malampasan ang maraming tradisyonal na spam at mga filter ng seguridad. Pinahuhusay ng taktikang ito ang kredibilidad at pinapataas ang posibilidad ng pakikipag-ugnayan ng gumagamit.

Ang pagkaapurahan na ipinapahayag sa mga mensaheng ito ay nagdidirekta sa mga tatanggap sa mga mapanlinlang na website na idinisenyo upang mangolekta ng mga sensitibong kredensyal. Naobserbahan ang mga katulad na pattern ng pag-atake sa mga naunang kampanya, na nagpapahiwatig ng patuloy na pagpipino at muling paggamit ng mga matagumpay na pamamaraan.

Manipulasyon sa Sikolohiya: Inhinyeriya’ Meta Panic’

Gumagamit ang mga umaatake ng iba't ibang pang-akit na social engineering upang magdulot ng takot at mabilis na pagtugon ng mga gumagamit. Ang mga pang-akit na ito ay estratehikong idinisenyo upang gayahin ang mga lehitimong komunikasyon ng Meta at pagsamantalahan ang mga senaryo batay sa takot.

Ang mga pangunahing kategorya ng pang-akit ay kinabibilangan ng:

Mga banta na may kaugnayan sa account : Mga reklamo ng suspensyon ng account, mga paglabag sa copyright, o mga agarang kinakailangan sa pag-verify
Mga alerto sa seguridad : Mga abiso ng mga kahina-hinalang pag-login o mga mandatoryong pagsusuri sa seguridad
Mga insentibo sa negosyo at katayuan : Mga alok sa beripikasyon ng blue badge o mga pagkakataon sa recruitment ng ehekutibo
Panggagaya sa korporasyon : Mga pekeng alok ng trabaho mula sa mga kilalang tatak upang bumuo ng tiwala at simulan ang pakikipag-ugnayan

Ang bawat pang-akit ay iniayon upang manipulahin ang pag-uugali ng gumagamit, na nagpapataas ng posibilidad ng pagsisiwalat ng kredensyal.

Imprastraktura ng Phishing na Multi-Channel: Iba’t Ibang Mekanismo ng Paghahatid

Ang kampanya ay nailalarawan sa pamamagitan ng paggamit nito ng maraming hosting platform at mga paraan ng paghahatid, na bawat isa ay gumaganap ng isang partikular na papel sa pagkolekta ng datos at exfiltration. Ang apat na pangunahing kumpol ng pag-atake ay kinabibilangan ng:

• Mga phishing page na hino-host ng Netlify: Mga pekeng portal ng Facebook Help Center na idinisenyo upang makuha ang mga kredensyal sa pag-login, personal na data, at pagkakakilanlan na inisyu ng gobyerno. Ang nakalap na data ay ipinapadala sa mga channel ng Telegram na kontrolado ng mga umaatake.
• Mga pahinang 'Security Check' na hino-host ng Vercel: Ginagaya ng mga pahinang ito ang mga portal ng privacy o seguridad ng Meta at may kasamang mga pekeng hamon sa CAPTCHA. Hinihikayat ang mga biktima na muling maglagay ng mga kredensyal at magbigay ng mga two-factor authentication (2FA) code, na lahat ay ini-exfiltrate nang real time.
• Mga PDF lures na naka-host sa Google Drive: Nakabalatkayo bilang mga opisyal na tagubilin sa pag-verify, ang mga dokumentong ito ay nagre-redirect sa mga user sa mga phishing page na nangongolekta ng mga password, 2FA code, mga larawan ng ID, at maging mga screenshot ng browser gamit ang mga naka-embed na script.
• Mga pekeng daloy ng trabaho sa recruitment: Panggagaya sa mga pangunahing kumpanya upang magtatag ng kredibilidad, na sinusundan ng pag-redirect sa mga malisyosong platform para sa karagdagang pakikipag-ugnayan at pangangalap ng datos.

Sa kabuuan, ang mga channel ng Telegram na naka-link sa mga kumpol na ito ay naglalaman ng humigit-kumulang 30,000 talaan ng biktima. Ang mga apektadong indibidwal ay pangunahing matatagpuan sa Hilagang Amerika, Europa, Asya, at Australia, na marami sa kanila ay nawalan ng access sa kanilang mga account.

Mga Pananaw sa Pagpapatungkol: Pagsubaybay sa mga Aktor sa Likod ng Kampanya

Lumitaw ang mahahalagang ebidensya ng pagpapatungkol mula sa metadata na naka-embed sa mga phishing PDF na nabuo sa pamamagitan ng isang libreng Canva account. Nakalista sa mga file ang 'PHẠM TÀI TÂN' bilang ang may-akda, na nagbibigay ng direktang link sa indibidwal na posibleng responsable para sa operasyon.

Ang karagdagang open-source intelligence ay nagsiwalat ng isang katumbas na website, ang 'phamtaitan.vn,' na nagtataguyod ng mga serbisyo sa digital marketing. Ang mga pampublikong pahayag na nauugnay sa entidad na ito ay nagpapahiwatig ng pagtutuon sa mga mapagkukunan ng marketing at strategic consulting, na nagmumungkahi ng isang dual-use skillset na maaaring magamit para sa parehong lehitimo at malisyosong layunin.

Ang Ekonomiyang Pang-ilalim ng Lupa: Pag-pagkakita sa mga Nakompromisong Digital na Pagkakakilanlan

Inilalarawan ng kampanyang ito ang mas malawak na kalakaran sa cybercrime: ang pagiging komersyal ng mga digital na pagkakakilanlan. Ang mga nakompromisong Facebook account ay hindi lamang mga endpoint kundi mahahalagang asset din sa loob ng isang maunlad na underground marketplace.

Ang mga umaatake ay nakikipagpalitan ng access sa mga account batay sa mga salik tulad ng kaugnayan sa negosyo, kasaysayan ng advertising, at potensyal na pagbawi. Ipinapakita ng operasyon kung paano ang mga pinagkakatiwalaang platform, ang Google AppSheet, Netlify, Vercel, at iba pa, ay muling ginagamit bilang mga layer ng imprastraktura para sa paghahatid, pagho-host, at monetization.

Ang kampanyang AccountDumpling ay nagsisilbing isang malinaw na halimbawa kung paano isinasama ng mga modernong aktor ng banta ang social engineering, mga serbisyo sa cloud, at underground economics sa isang magkakaugnay at nasusukat na cybercriminal enterprise.