AccountDumpling 网络钓鱼活动

通过Mezo在网络钓鱼

翻译为：

一项名为“AccountDumpling”的大规模网络犯罪活动已被确认，该活动与一个与越南有关联的威胁组织有关，并利用谷歌应用表格（Google AppSheet）作为网络钓鱼中继机制。该行动主要通过散布欺骗性电子邮件来入侵Facebook账户，尤其是企业用户的账户。

与传统的网络钓鱼活动不同，这并非一套静态的工具包，而是一个动态且不断演进的生态系统。它整合了实时操作面板、先进的规避技术以及结构化的盈利流程。被盗账户会被重新导入攻击者控制的地下市场，形成一个自我维持的犯罪循环。此次活动中，约有3万个Facebook账户遭到入侵。

攻击链始于精心制作的钓鱼邮件，这些邮件冒充Meta Support。邮件的目标用户是Facebook企业账户持有者，警告他们如果不立即采取行动，账户将被删除。邮件中会敦促受害者通过嵌入的链接提交申诉。

该活动取得成效的关键因素之一是使用了合法的基础设施。邮件从 Google AppSheet 地址（“noreply@appsheet.com”）发送，从而绕过了许多传统的垃圾邮件和安全过滤器。这种策略提高了活动的可信度，并增加了用户参与的可能性。

这些信息传递出的紧迫感会将收件人引导至旨在窃取敏感凭证的欺诈网站。此前的攻击活动中也观察到了类似的攻击模式，表明攻击者不断改进并重复使用成功的攻击手段。

攻击者利用各种社会工程诱饵来引发恐慌，迫使用户迅速做出反应。这些诱饵经过精心设计，旨在模仿合法的 Meta 通信，并利用人们的恐惧心理。

主要诱饵类别包括：

账户相关威胁：声称账户被暂停、侵犯版权或需要紧急验证。
安全警报：可疑登录或强制安全检查的通知
商业和地位奖励：蓝徽章认证优惠或高管招聘机会
企业冒充：伪造知名品牌的招聘信息，以建立信任并启动互动。

每一种诱饵都经过精心设计，旨在操纵用户行为，增加凭证泄露的可能性。

该攻击活动的特点是使用了多个托管平台和分发方式，每个平台和方式在数据收集和泄露过程中都发挥着特定作用。四个主要的攻击集群包括：

Netlify托管的钓鱼页面：伪造的Facebook帮助中心门户网站，旨在窃取登录凭证、个人数据和政府颁发的身份证明。收集到的数据会被传输到攻击者控制的Telegram频道。
Vercel托管的“安全检查”页面：这些页面模拟Meta隐私或安全门户，并包含虚假的验证码挑战。受害者会被要求重新输入凭据并提供双因素身份验证 (2FA) 代码，所有这些信息都会被实时窃取。
Google 云端硬盘托管的 PDF 诱饵：这些文档伪装成官方验证说明，将用户重定向到钓鱼页面，利用嵌入式脚本收集密码、双因素身份验证代码、身份证照片，甚至浏览器屏幕截图。
虚假招聘流程：冒充大公司建立信誉，然后将用户重定向到恶意平台进行进一步互动和数据收集。

与这些集群关联的Telegram频道共包含约3万条受害者记录。受影响者主要分布在北美、欧洲、亚洲和澳大利亚，其中许多人已无法访问自己的账户。

关键的归因证据来自嵌入在通过免费 Canva 账户生成的钓鱼 PDF 文件中的元数据。这些文件将“PHẠM TÀI TÂN”列为作者，从而直接指向了可能对此次行动负有责任的个人。

进一步的开源情报显示，一个名为“phamtaitan.vn”的网站与之相关，该网站推广数字营销服务。与该实体相关的公开声明表明，其重点在于营销资源和战略咨询，这暗示其具备可用于合法或恶意目的的双重技能。

此次事件揭示了网络犯罪的一个更广泛趋势：数字身份的商品化。被盗用的Facebook账户不仅仅是终端，更是蓬勃发展的地下市场中的宝贵资产。

攻击者会根据业务关联、广告历史记录和恢复可能性等因素来交换账户访问权限。此次行动表明，Google AppSheet、Netlify、Vercel 等受信任平台正被重新利用，作为交付、托管和盈利的基础设施层。

AccountDumpling 活动清楚地表明了现代威胁行为者如何将社会工程、云服务和地下经济整合到一个具有凝聚力和可扩展性的网络犯罪企业中。

搜索