📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma operação recém-descoberta ligada ao Vietnã foi observada usando um Google AppSheet como um “retransmissor de phishing” para distribuir e-mails de phishing com o objetivo de comprometer contas do Facebook.
A atividade recebeu o codinome AccountDumpling de Guardio, com o esquema vendendo as contas roubadas de volta por meio de uma loja ilícita administrada pelos atores da ameaça. Ao todo, estima-se que cerca de 30 mil contas do Facebook foram hackeadas como parte da campanha.
“O que descobrimos não foi um único kit de phishing”, escreveu o pesquisador de segurança Shaked Chen em um relatório compartilhado com o The Hacker News. “Foi uma operação viva com painéis de operação em tempo real, evasão avançada, evolução contínua e um ciclo comercial criminoso que se alimenta silenciosamente das mesmas contas que ajuda a roubar de volta”.
As descobertas são apenas o exemplo mais recente de como os agentes de ameaças vietnamitas continuam a adotar várias táticas para obter acesso não autorizado às contas das vítimas no Facebook, que são depois vendidas em ecossistemas subterrâneos para ganho monetário.
O ponto de partida dos ataques mais recentes é um e-mail de phishing direcionado aos proprietários de contas comerciais do Facebook, alegando ser do Meta Support e instando-os a enviar um recurso ou correr o risco de ter sua conta excluída permanentemente. Os e-mails são enviados de um endereço do Google AppSheet (“noreply@appsheet.com”), permitindo que eles contornem os filtros de spam.
Esse falso senso de urgência é usado para direcionar os usuários a uma página web falsa projetada para coletar suas credenciais. É importante notar que uma campanha semelhante foi relatada pela KnowBe4 em maio de 2025.
Nas últimas semanas, essas campanhas adotaram vários tipos de iscas destinadas a induzir um “pânico relacionado ao meta”. Eles variam desde desativação de conta e reclamações de direitos autorais até revisão de verificação, recrutamento de executivos e alertas de login no Facebook. Os quatro principais clusters identificados por Guardio estão listados abaixo -
Páginas da central de ajuda do Facebook hospedadas pela Netlify que permitem ataques de controle de contas, além de coletar datas de nascimento, números de telefone e fotos de identificação emitidas pelo governo. Os dados são finalmente encaminhados para um canal do Telegram controlado pelo invasor.
Iscas de avaliação de crachá azul que orientam as vítimas para páginas "Verificação de segurança" ou "Meta | Centro de privacidade" hospedadas por Vercel que são bloqueadas por uma verificação CAPTCHA falsa antes de direcionar os usuários para a página de destino de phishing para coletar detalhes de contato, informações comerciais, credenciais (após uma nova tentativa forçada) e códigos de autenticação de dois fatores (2FA) e exfiltrá-los para um canal Telegram.
PDFs hospedados no Google Drive disfarçados de instruções para concluir a verificação da conta para direcionar os usuários a coletar senhas, códigos 2FA, fotos de identificação do governo e capturas de tela do navegador por meio de html2canvas. Os documentos PDF são gerados usando uma conta gratuita do Canva.
Ofertas de emprego falsas que se passam por empresas como WhatsApp, Meta, Adobe, Pinterest, Apple e Coca-Cola para construir relacionamento com os destinatários e pedir-lhes que participem de uma chamada ou continuem a discussão em sites controlados por invasores.
Cumulativamente, descobriu-se que os canais do Telegram associados aos três primeiros grupos detêm cerca de 30.000 registos de vítimas, a maioria das quais estão localizadas nos EUA, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México, e foram bloqueadas nas suas próprias contas.
Quanto a quem está por trás da operação, a evidência definitiva veio dos PDFs gerados como parte do terceiro cluster usando a conta gratuita do Canva, com metadados listando um nome vietnamita “PHẠM TÀI TÂN” como autor dos arquivos. Mais inteligência de código aberto levou à descoberta de um site (“phamtaitan[.]vn”), onde oferecem serviços de marketing digital.
Em uma postagem compartilhada no X em fevereiro de 2023, o site dizia que “é especializado em fornecer serviços de marketing digital, recursos de marketing e consultoria em estratégias eficazes de marketing digital”.
“Tomados em conjunto, eles formam uma imagem consistente de uma grande megaoperação baseada no Vietnã”, disse Chen. "Esta campanha é maior do que um único abuso do AppSheet. É uma janela para o mercado negro em torno de ativos roubados do Facebook, onde o acesso, a identidade comercial, a reputação do anúncio e até mesmo a recuperação de contas se tornaram mercadorias negociáveis. Outra entrada no padrão que continuamos surgindo: plataformas confiáveis reaproveitadas como camadas de entrega, hospedagem e monetização."
A atividade recebeu o codinome AccountDumpling de Guardio, com o esquema vendendo as contas roubadas de volta por meio de uma loja ilícita administrada pelos atores da ameaça. Ao todo, estima-se que cerca de 30 mil contas do Facebook foram hackeadas como parte da campanha.
“O que descobrimos não foi um único kit de phishing”, escreveu o pesquisador de segurança Shaked Chen em um relatório compartilhado com o The Hacker News. “Foi uma operação viva com painéis de operação em tempo real, evasão avançada, evolução contínua e um ciclo comercial criminoso que se alimenta silenciosamente das mesmas contas que ajuda a roubar de volta”.
As descobertas são apenas o exemplo mais recente de como os agentes de ameaças vietnamitas continuam a adotar várias táticas para obter acesso não autorizado às contas das vítimas no Facebook, que são depois vendidas em ecossistemas subterrâneos para ganho monetário.
O ponto de partida dos ataques mais recentes é um e-mail de phishing direcionado aos proprietários de contas comerciais do Facebook, alegando ser do Meta Support e instando-os a enviar um recurso ou correr o risco de ter sua conta excluída permanentemente. Os e-mails são enviados de um endereço do Google AppSheet (“noreply@appsheet.com”), permitindo que eles contornem os filtros de spam.
Esse falso senso de urgência é usado para direcionar os usuários a uma página web falsa projetada para coletar suas credenciais. É importante notar que uma campanha semelhante foi relatada pela KnowBe4 em maio de 2025.
Nas últimas semanas, essas campanhas adotaram vários tipos de iscas destinadas a induzir um “pânico relacionado ao meta”. Eles variam desde desativação de conta e reclamações de direitos autorais até revisão de verificação, recrutamento de executivos e alertas de login no Facebook. Os quatro principais clusters identificados por Guardio estão listados abaixo -
Páginas da central de ajuda do Facebook hospedadas pela Netlify que permitem ataques de controle de contas, além de coletar datas de nascimento, números de telefone e fotos de identificação emitidas pelo governo. Os dados são finalmente encaminhados para um canal do Telegram controlado pelo invasor.
Iscas de avaliação de crachá azul que orientam as vítimas para páginas "Verificação de segurança" ou "Meta | Centro de privacidade" hospedadas por Vercel que são bloqueadas por uma verificação CAPTCHA falsa antes de direcionar os usuários para a página de destino de phishing para coletar detalhes de contato, informações comerciais, credenciais (após uma nova tentativa forçada) e códigos de autenticação de dois fatores (2FA) e exfiltrá-los para um canal Telegram.
PDFs hospedados no Google Drive disfarçados de instruções para concluir a verificação da conta para direcionar os usuários a coletar senhas, códigos 2FA, fotos de identificação do governo e capturas de tela do navegador por meio de html2canvas. Os documentos PDF são gerados usando uma conta gratuita do Canva.
Ofertas de emprego falsas que se passam por empresas como WhatsApp, Meta, Adobe, Pinterest, Apple e Coca-Cola para construir relacionamento com os destinatários e pedir-lhes que participem de uma chamada ou continuem a discussão em sites controlados por invasores.
Cumulativamente, descobriu-se que os canais do Telegram associados aos três primeiros grupos detêm cerca de 30.000 registos de vítimas, a maioria das quais estão localizadas nos EUA, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México, e foram bloqueadas nas suas próprias contas.
Quanto a quem está por trás da operação, a evidência definitiva veio dos PDFs gerados como parte do terceiro cluster usando a conta gratuita do Canva, com metadados listando um nome vietnamita “PHẠM TÀI TÂN” como autor dos arquivos. Mais inteligência de código aberto levou à descoberta de um site (“phamtaitan[.]vn”), onde oferecem serviços de marketing digital.
Em uma postagem compartilhada no X em fevereiro de 2023, o site dizia que “é especializado em fornecer serviços de marketing digital, recursos de marketing e consultoria em estratégias eficazes de marketing digital”.
“Tomados em conjunto, eles formam uma imagem consistente de uma grande megaoperação baseada no Vietnã”, disse Chen. "Esta campanha é maior do que um único abuso do AppSheet. É uma janela para o mercado negro em torno de ativos roubados do Facebook, onde o acesso, a identidade comercial, a reputação do anúncio e até mesmo a recuperação de contas se tornaram mercadorias negociáveis. Outra entrada no padrão que continuamos surgindo: plataformas confiáveis reaproveitadas como camadas de entrega, hospedagem e monetização."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #30.000 #contas #do #facebook #hackeadas #por #meio #da #campanha #de #phishing #do #google #appsheet
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário