Googles infrastruktur utnyttjas för att stjäla Facebook-konton

Forskare vid Guardio Labs har avslöjat en storskalig phishing-kampanj som missbrukar Googles egna tjänster för att lura användare att lämna ifrån sig sina Facebook-inloggningsuppgifter. Operationen har fått namnet AccountDumpling och har hittills komprometterat över 30 000 konton globalt.

Hur attacken fungerar

Det som gör kampanjen ovanlig är att angriparna skickar phishing-mail från en legitim Google-adress: noreply@appsheet.com. Eftersom mailet tekniskt sett kommer från Googles plattform AppSheet passerar det spamfilter utan problem och ser trovärdigt ut för mottagaren.

Mailet utger sig för att komma från Meta Support och varnar om att Facebook-kontot riskerar att stängas permanent om inte användaren agerar omedelbart. Den falska brådskan driver offret att klicka på en länk som leder till en fejkad inloggningssida.

Fyra attackvarianter

Guardio identifierade fyra distinkta varianter i kampanjen:

• Netlify-sidor som efterliknar Facebooks hjälpcenter och samlar in inloggningsuppgifter, telefonnummer och ID-foton. Datan skickas vidare till en Telegram-kanal kontrollerad av angriparna.
• Vercel-sidor med falska CAPTCHA-kontroller som leder till sidor som stjäl lösenord, tvåfaktorkoder och kontaktuppgifter.
• Google Drive-PDF:er skapade via Canva som instruerar offret att verifiera sitt konto. Sidorna samlar in lösenord, 2FA-koder, ID-foton och till och med skärmdumpar via webbläsaren.
• Falska jobberbjudanden som utger sig för att komma från företag som Meta, Adobe och Apple, och lockar offret till angriparkontrollerade webbplatser.

Stulen data säljs vidare

Det som skiljer AccountDumpling från enklare phishing-operationer är att de stulna kontona inte bara används utan aktivt säljs tillbaka via en kriminell marknadsplats driven av samma aktörer. Tillgång till Facebook-konton, annonsbudgetar och verifierade affärsprofiler har blivit handelsvara på den svarta marknaden.

"Det vi hittade var inte ett enskilt phishing-kit", skriver säkerhetsforskaren Shaked Chen vid Guardio Labs. "Det var en levande operation med realtidspaneler, avancerad undanflykt, kontinuerlig utveckling och en kriminell-kommersiell loop som tyst lever på de konton den hjälper till att stjäla tillbaka."

Vietnamesisk koppling

Metadata i PDF-dokumenten skapade via Canva pekade ut ett vietnamesiskt namn som upphovsman. Vidare efterforskning ledde till en webbplats som erbjuder digitala marknadsföringstjänster i Vietnam. Mönstret stämmer med tidigare kända vietnamesiska hotaktörer som riktat in sig på Facebook-konton.

Vad du bör göra

Var skeptisk mot mail som kräver omedelbar handling kring ditt Facebook-konto, även om avsändaradressen ser legitim ut. Kontrollera alltid URL:en innan du anger inloggningsuppgifter och aktivera tvåfaktorsautentisering. Kom ihåg att en legitim avsändaradress inte garanterar att mailet är äkta.

Källa: Guardio Labs / The Hacker News