Фішингова кампанія AccountDumpling
Було виявлено масштабну кіберзлочинну кампанію, яку приписують пов'язаній з В'єтнам групі зловмисників під назвою AccountDumpling, використовуючи Google AppSheet як механізм фішингової ретрансляції. Ця операція розповсюджує оманливі електронні листи з основною метою компрометації облікових записів Facebook, зокрема тих, що пов'язані з бізнес-користувачами.
На відміну від звичайних фішингових кампаній, це не статичний набір інструментів, а динамічна та постійно розвивається екосистема. Вона включає в себе інформаційні панелі операторів у режимі реального часу, передові методи ухилення від шахрайства та структурований конвеєр монетизації. Викрадені облікові записи повертаються назад на підпільний ринок, контрольований зловмисниками, створюючи самопідтримуваний злочинний цикл. В рамках цієї кампанії було скомпрометовано близько 30 000 облікових записів Facebook.
Зміст
Збройова довіра: використання Google AppSheet для доставки електронної пошти
Ланцюг атаки починається з ретельно сформульованих фішингових листів, що видають себе за службу підтримки Meta. Ці повідомлення спрямовані на власників бізнес-акаунтів Facebook, попереджаючи їх про неминуче видалення облікового запису, якщо не буде вжито негайних заходів. Жертвам рекомендується подавати апеляції через вбудовані посилання.
Ключовим фактором ефективності кампанії є використання легітимної інфраструктури. Електронні листи надсилаються з адреси Google AppSheet («noreply@appsheet.com»), що дозволяє їм обходити багато традиційних фільтрів спаму та безпеки. Така тактика підвищує довіру та збільшує ймовірність залучення користувачів.
Терміновість, що висловлюється в цих повідомленнях, спрямовує одержувачів на шахрайські веб-сайти, призначені для збору конфіденційних облікових даних. Подібні схеми атак спостерігалися й у попередніх кампаніях, що свідчить про постійне вдосконалення та повторне використання успішних методів.
Психологічна маніпуляція: створення «метапаніки»
Зловмисники використовують різноманітні приманки соціальної інженерії, щоб викликати паніку та змусити користувачів швидко реагувати. Ці приманки стратегічно розроблені для імітації легітимних метакомунікацій та використання сценаріїв, заснованих на страху.
Основні категорії приманок включають:
Загрози, пов’язані з обліковим записом : заяви про блокування облікового запису, порушення авторських прав або вимоги щодо термінової перевірки
Сповіщення безпеки : сповіщення про підозрілі входи або обов’язкові перевірки безпеки
Бізнес-стимули та стимули для статусу : пропозиції з підтвердженням синього значка або можливості працевлаштування керівників
Корпоративна імітація себе за іншу особу : фальшиві пропозиції роботи від відомих брендів для зміцнення довіри та ініціювання взаємодії
Кожна приманка розроблена для маніпулювання поведінкою користувача, збільшуючи ймовірність розкриття облікових даних.
Багатоканальна фішингова інфраструктура: різноманітні механізми доставки
Кампанія характеризується використанням кількох хостингових платформ та методів доставки, кожен з яких виконує певну роль у зборі та витоку даних. Чотири основні кластери атак включають:
- Фішингові сторінки, розміщені на Netlify: фальшиві портали довідкового центру Facebook, призначені для збору облікових даних для входу, персональних даних та посвідчень особи державного зразка. Зібрані дані передаються до каналів Telegram, контрольованих зловмисниками.
- Сторінки «Перевірки безпеки», розміщені на Vercel: ці сторінки імітують портали конфіденційності або безпеки мета-даних і містять підроблені CAPTCHA-перевірки. Жертвам пропонується повторно ввести облікові дані та надати коди двофакторної автентифікації (2FA), всі з яких вилучаються в режимі реального часу.
- PDF-файли, розміщені на Google Диску, мають приманку: замасковані під офіційні інструкції з перевірки, ці документи перенаправляють користувачів на фішингові сторінки, які збирають паролі, коди 2FA, фотографії посвідчень особи та навіть скріншоти браузера за допомогою вбудованих скриптів.
- Фальшиві робочі процеси з рекрутингу: видавання себе за великі компанії для встановлення довіри, а потім перенаправлення на шкідливі платформи для подальшої взаємодії та збору даних.
Загалом канали Telegram, пов’язані з цими кластерами, містять приблизно 30 000 записів про жертв. Постраждалі особи переважно знаходяться в Північній Америці, Європі, Азії та Австралії, багато з яких втратили доступ до своїх облікових записів.
Аналітика атрибуції: відстеження дійових осіб, що стоять за кампанією
Важливі докази атрибуції були отримані з метаданих, вбудованих у фішингові PDF-файли, згенеровані через безкоштовний обліковий запис Canva. У файлах як автора вказано «PHẠM TÀI TÂN», що забезпечує пряме посилання на особу, потенційно відповідальну за операцію.
Подальші дані розвідки з відкритих джерел виявили відповідний веб-сайт «phamtaitan.vn», який просуває послуги цифрового маркетингу. Публічні заяви, пов’язані з цією організацією, свідчать про зосередження на маркетингових ресурсах та стратегічному консалтингу, що свідчить про подвійне використання навичок, які можуть бути використані як для законних, так і для зловмисних цілей.
Підпільна економіка: Монетизація скомпрометованих цифрових ідентичностей
Ця кампанія ілюструє ширшу тенденцію в кіберзлочинності: комерціалізацію цифрових ідентифікацій. Скомпрометовані облікові записи Facebook – це не просто кінцеві точки, а цінні активи на процвітаючому підпільному ринку.
Зловмисники обмінюють доступ до облікових записів на основі таких факторів, як бізнес-приналежність, історія реклами та потенціал відновлення. Ця операція демонструє, як надійні платформи, Google AppSheet, Netlify, Vercel та інші, перепрофілюються як рівні інфраструктури для доставки, хостингу та монетизації.
Кампанія AccountDumpling слугує яскравим прикладом того, як сучасні зловмисники інтегрують соціальну інженерію, хмарні сервіси та підпільну економіку в єдине та масштабоване кіберзлочинне підприємство.
