Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Campaña de phishing de AccountDumpling

Campaña de phishing de AccountDumpling

Por Mezo en Suplantación de identidad (phishing)
Traducir a:

Se ha detectado una campaña ciberdelictiva a gran escala, atribuida a un grupo de amenazas vinculado a Vietnam y denominada AccountDumpling, que utiliza Google AppSheet como mecanismo de retransmisión de phishing. Esta operación distribuye correos electrónicos engañosos con el objetivo principal de comprometer cuentas de Facebook, en particular las asociadas a usuarios empresariales.

A diferencia de las campañas de phishing convencionales, este no es un conjunto de herramientas estático, sino un ecosistema dinámico y en constante evolución. Incorpora paneles de control para operadores en tiempo real, técnicas avanzadas de evasión y un sistema de monetización estructurado. Las cuentas robadas se canalizan hacia un mercado clandestino controlado por los atacantes, creando un ciclo delictivo autosostenible. Aproximadamente 30 000 cuentas de Facebook se han visto comprometidas como parte de esta campaña.

Confianza utilizada como arma: Explotando Google AppSheet para la entrega de correo electrónico

La cadena de ataque comienza con correos electrónicos de phishing cuidadosamente elaborados que suplantan la identidad del soporte técnico de Meta. Estos mensajes van dirigidos a los titulares de cuentas de Facebook Business, advirtiéndoles de la inminente eliminación de su cuenta a menos que tomen medidas inmediatas. Se insta a las víctimas a presentar apelaciones a través de enlaces integrados.

Un factor clave en la efectividad de la campaña es el uso de infraestructura legítima. Los correos electrónicos se envían desde una dirección de Google AppSheet ('noreply@appsheet.com'), lo que les permite eludir muchos filtros tradicionales de spam y seguridad. Esta táctica aumenta la credibilidad y la probabilidad de interacción por parte de los usuarios.

La urgencia que transmiten estos mensajes dirige a los destinatarios a sitios web fraudulentos diseñados para robar credenciales confidenciales. Se observaron patrones de ataque similares en campañas anteriores, lo que indica un perfeccionamiento continuo y la reutilización de técnicas exitosas.

Manipulación psicológica: Ingeniería del “Metapánico”

Los atacantes emplean diversas técnicas de ingeniería social para provocar pánico y forzar una respuesta rápida por parte de los usuarios. Estas técnicas están diseñadas estratégicamente para imitar comunicaciones legítimas de Meta y explotar situaciones basadas en el miedo.

Las principales categorías de señuelos incluyen:

Amenazas relacionadas con la cuenta : Reclamaciones de suspensión de cuenta, infracciones de derechos de autor o requisitos de verificación urgentes.
Alertas de seguridad : Notificaciones de inicios de sesión sospechosos o comprobaciones de seguridad obligatorias.
Incentivos empresariales y de estatus : Ofertas de verificación de la tarjeta azul o oportunidades de contratación de ejecutivos.
Suplantación de identidad corporativa : Ofertas de trabajo falsas de marcas conocidas para generar confianza e iniciar la interacción.

Cada señuelo está diseñado para manipular el comportamiento del usuario, aumentando la probabilidad de que se revelen sus credenciales.

Infraestructura de phishing multicanal: diversos mecanismos de entrega

La campaña se caracteriza por el uso de múltiples plataformas de alojamiento y métodos de entrega, cada uno con una función específica en la recopilación y exfiltración de datos. Los cuatro clústeres de ataque principales incluyen:

  • Páginas de phishing alojadas en Netlify: Portales falsos del Centro de Ayuda de Facebook diseñados para capturar credenciales de inicio de sesión, datos personales e identificaciones oficiales. Los datos recopilados se transmiten a canales de Telegram controlados por el atacante.
  • Páginas de "Verificación de seguridad" alojadas por Vercel: Estas páginas simulan portales de privacidad o seguridad de Meta e incluyen falsos desafíos CAPTCHA. Se solicita a las víctimas que vuelvan a ingresar sus credenciales y proporcionen códigos de autenticación de dos factores (2FA), los cuales se extraen en tiempo real.
  • Archivos PDF fraudulentos alojados en Google Drive: disfrazados de instrucciones de verificación oficiales, estos documentos redirigen a los usuarios a páginas de phishing que recopilan contraseñas, códigos de autenticación de dos factores (2FA), fotos de identificación e incluso capturas de pantalla del navegador mediante scripts integrados.
  • Flujos de trabajo de reclutamiento fraudulentos: Suplantación de identidad de grandes empresas para generar credibilidad, seguida de una redirección a plataformas maliciosas para una mayor interacción y recopilación de datos.

En conjunto, los canales de Telegram vinculados a estos grupos contienen aproximadamente 30 000 registros de víctimas. Las personas afectadas se encuentran principalmente en Norteamérica, Europa, Asia y Australia, muchas de las cuales han perdido el acceso a sus cuentas.

Información sobre la atribución: Rastreo de los actores detrás de la campaña.

La evidencia crucial para la atribución de responsabilidades surgió de los metadatos incrustados en los archivos PDF de phishing generados a través de una cuenta gratuita de Canva. Los archivos mencionan a 'PHẠM TÀI TÂN' como autor, lo que proporciona un vínculo directo con la persona potencialmente responsable de la operación.

Una investigación adicional de fuentes abiertas reveló la existencia de un sitio web correspondiente, 'phamtaitan.vn', que promociona servicios de marketing digital. Las declaraciones públicas asociadas con esta entidad indican que se centra en recursos de marketing y consultoría estratégica, lo que sugiere un conjunto de habilidades de doble uso que podrían aprovecharse tanto para fines legítimos como maliciosos.

La economía sumergida: la monetización de identidades digitales comprometidas

Esta campaña ilustra una tendencia más amplia en el cibercrimen: la mercantilización de las identidades digitales. Las cuentas de Facebook comprometidas no son meros puntos de acceso, sino activos valiosos dentro de un próspero mercado negro.

Los atacantes intercambian accesos a cuentas basándose en factores como la afiliación comercial, el historial publicitario y el potencial de recuperación. Esta operación demuestra cómo plataformas de confianza, como Google AppSheet, Netlify, Vercel y otras, se están reutilizando como capas de infraestructura para la distribución, el alojamiento y la monetización de contenido.

La campaña AccountDumpling sirve como un claro ejemplo de cómo los ciberdelincuentes modernos integran la ingeniería social, los servicios en la nube y la economía sumergida en una organización cibercriminal cohesionada y escalable.

Tendencias

Mas Visto

Cargando...