СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 мая
#ИБ

AccountDumpling: фишинг через Google AppSheet крадет Facebook-аккаунты

Недавняя phishing-кампания AccountDumpling показала, как доверенные cloud-сервисы могут использоваться в качестве оружия против пользователей. По данным отчета, злоумышленники скомпрометировали более 30 000 Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta)-accounts, рассылая phishing emails через Google AppSheet — legitimate no-code platform, предназначенную для автоматизации уведомлений.

Атака приписывается связанным с Vietnam actors, которые задействовали trusted service, чтобы обойти традиционные механизмы блокировки suspicious emails. Основной целью стали пользователи Facebook, которых заманивали приманками, связанными с проблемами account security, fake job offers и urgent notifications, создающими ощущение panic.

Как работала схема

Особенность этой кампании заключалась в том, что преступники не полагались на типичные признаки phishing — сомнительные mail infrastructure или compromised Google accounts. Вместо этого они использовали инфраструктуру Google для отправки сообщений, которые выглядели authentic и вызывали меньше подозрений.

В цепочке атаки применялись различные domains и tools, включая clones legitimate Facebook pages, размещенные на Netlify и Vercel. Эти страницы имитировали надежные интерфейсы и подталкивали жертв к вводу credentials и других sensitive data.

  • использование trusted service для рассылки phishing emails;
  • клоны Facebook pages на Netlify и Vercel;
  • разные lures, адаптированные под поведение жертв;
  • многоэтапный сбор data вместо одноразовой кражи credentials.

PDF-приманка и Socket IO-панель

Один из наиболее заметных вариантов схемы использовал PDF-file, размещенный на Google Drive, который выдавал себя за уведомление от Meta. Внутри документа находилась embedded link, перенаправлявшая пользователей на dynamic phishing panel на базе Socket IO.

Эта панель была способна собирать многокомпонентные данные, включая:

  • passwords;
  • 2FA codes;
  • screenshots.

Такая архитектура указывает на продуманную операционную модель, где злоумышленники стремились не просто похитить login data, а получить максимально полный набор сведений о жертве.

Human-in-the-loop в реальном времени

Расследование также выявило использование human-in-the-loop модели в реальном времени. Операторы могли взаимодействовать с жертвами непосредственно в процессе их перемещения по поддельным login screens, что повышало шансы на успешный захват account.

Иными словами, атака строилась не как полностью автоматизированная схема, а как гибридная операция, в которой люди вручную подстраивали сценарий под поведение конкретной жертвы. Это делало кампанию более устойчивой и опасной.

Telegram bots как канал эксфильтрации

Отдельного внимания заслуживает использование Telegram bots для эксфильтрации украденных данных. Передавая сведения жертв через Telegram channels, операторы AccountDumpling могли почти мгновенно отслеживать полученную информацию и реагировать на нее.

Аналитики обнаружили конкретные bots, связанные с операцией, что помогло восстановить сеть злоумышленников и понять ее operational structure. По данным расследования, именно эти связи позволили атрибутировать кампанию конкретным лицам во Vietnam.

Атрибуция и следы инфраструктуры

Детальный анализ metadata из phishing tools усилил атрибуцию. Один из PDF-files привел исследователей к public profile вьетнамского гражданина по имени Phạm Tài Tân, что дало прямую связь с инфраструктурой операции.

Дополнительные clues обеспечили пересекающиеся channels и общие language patterns, обнаруженные во всех phishing kits. В совокупности это создало массив доказательств, которые помогают аналитикам по cybersecurity отслеживать масштаб угрозы и понимать ее более широкие последствия.

Почему AccountDumpling опасна

По сути, AccountDumpling отражает не просто рост phishing-активности, а развитие полноценной cybercrime ecosystem, ориентированной на:

  • stealing credentials;
  • account takeover;
  • resale of compromised accounts;
  • monetization через recovery services.

Такая модель напоминает business model, в которой trust становится главным ресурсом для эксплуатации. Именно поэтому подобные угрозы, по оценке исследователей, будут продолжать эволюционировать.

«Вся эта схема показывает значительную эскалацию в тактиках sophisticated phishing и collaborative nature of cybercrime на фоне доступных технологий».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: