Angreifer nutzen Google AppSheet, Netlify und Telegram in Facebook-Phishing-Kampagne

Sicherheitslage und Risiko

Angriffs- und Umgehungsmethoden Die Operation ist hochgradig modular und verwendet vier unterschiedliche Phishing-Cluster, um Opfer basierend auf verschiedenen psychologischen Auslösern zu inszenieren.

Cluster-Typ, Köderstrategie, Hosting-Plattform, Technische Merkmale, Richtlinienverstoß, Gefälschte Facebook Hilfe-Center-Benachrichtigungen, die eine dauerhafte Kontodeaktivierung androhen, Netlify HTTrack-Klonierungsartefakte, einzigartige Subdomains zur Umgehung, serverlose Funktionen zur Datenexfiltration, Belohnungsversprechen, Einladungen zur Blue Badge-Verifizierung oder exklusive Werbetreibenden-Belohnungen, Vercel Unicode-Obfuskation in Preheadern, gefälschte reCAPTCHA-Barrieren, live Credential-Validierungs-Skripte, Live Control, dringende Meta-Benachrichtigungen, getarnt als saubere, einbildige Benachrichtigung, Google Drive (Canva PDFs), WebSocket-basierte Live-Phishing-Panels, die eine Echtzeit-Interaktion mit menschlichem Eingriff ermöglichen, Engineering, gefälschte leitende Stellenangebote ßen Tech-Unternehmen wie Meta und Apple, Außerplattform-Kommunikationskanäle, kyrillische Homoglyphen in Absender-Anzeigenamen, Wechsel zu Live-Gesprächen, um langsam Vertrauen aufzubauen.

Hinter den raffinierten Front-End-Ködern stützt sich die AccountDumpling-Operation vollständig auf Telegram-Bots für ihre Command-and-Control-Exfiltration.

Sicherheitslage und Risiko

Telegram Phishing-Kampagne (Quelle: Guard Labs) Gestohlene Anmeldedaten, Zwei-Faktor-Authentifizierungscodes, Geburtsdaten und Fotos sofort an private Telegram-Kanäle weitergeleitet. Betreiber überwachen diese Streams aktiv, um die gestohlenen Daten zu validieren und Konten in Echtzeit zu übernehmen.

Telemetrie aus der wiederhergestellten Bot-Infrastruktur deutet darauf hin, dass ungefähr 30.000 Opferdatensätze verarbeitet wurden. Eine geografische Analyse zeigt, dass 68,6 Prozent der angegriffenen Einzelpersonen und Unternehmen in den Vereinigten Staaten ansässig sind.

Canva Generiertes Phishing (Quelle: Guard Labs) Guardio Labs konnte den Kern des Vorgangs durch ein kritisches Versäumnis bei der operativen Sicherheit einem vietnamesischen Bedrohungsakteur zurückverfolgen.

Sicherheitslage und Risiko

Phishing-Kampagne (Quelle: guardLabs) Ein in dem dritten Angriffskluster verwendetes dessen Autorenmetadaten und legte den echten Namen „PHẠM TÀI TN“ frei.

Ermittler stellten diesen Namen mit einer öffentlichen Geschäftsidentität in Vietnam in Verbindung, die aktiv Dienste zur Wiederherstellung und Sicherung.

Dies offenbart eine zirkuläre kriminelle Wirtschaft, in der Angreifer wertvolle Geschäftsvermögen stehlen, diese zur Durchführung betrügerischer Kampagnen nutzen und dann versuchen, Wiederherrschtdienste an die ursprünglichen Opfer zu verkaufen. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Attackers Abuse Google AppSheet, Netlify, and Telegram in Facebook Phishing Campaign erschien zuerst bei