Angreifer nutzen Google AppSheet, Netlify und Telegram in Facebook-Phishing-Kampagne

Diese gestohlenen Facebook Business-Konten werden anschließend monetarisiert oder an die Opfer über einen illegalen Shop weiterverkauft. Die Grundlage dieser Kampagne beruht auf dem Hijacking des Plattformvertrauens und nicht auf der Spoofing.

Die Bedrohungsakteure nutzen Google AppSheet, einen legitimen No-Code-App-Baukasten-Dienst, um bösartige Benachrichtigungen zu verbreiten. E-Mail-Phishing (Quelle: Guard Labs) Da diese E-Mails direkt @appsheet.com gesendet werden, passieren sie problemlos SPF-, DKIM- und DMARC-Authentifizierungsprüfungen.

Account Dumpling (Quelle: Guard Labs) Sicherheitsverteidiger und Spamfilter lassen diese Nachrichten durch, da Google tatsächlich die sendende Infrastruktur besitzt. Dies zwingt Opfer dazu, sich vollständig darauf zu verlassen, den täuschenden Inhalt innerhalb der Nachricht selbst zu identifizieren.

Angriffs- und Umgehungsmethoden Die Operation ist

Angriffs- und Umgehungsmethoden Die Operation ist hochgradig modular und verwendet vier unterschiedliche Phishing-Cluster, um Opfer basierend auf verschiedenen psychologischen Auslösern zu inszenieren.

Cluster-Typ, Köderstrategie, Hosting-Plattform, Technische Merkmale, Richtlinienverstoß, Gefälschte Facebook Hilfe-Center-Benachrichtigungen, die eine dauerhafte Kontodeaktivierung androhen, Netlify HTTrack-Klonierungsartefakte, einzigartige Subdomains zur Umgehung , serverlose Funktionen zur Datenexfiltration, Belohnungsversprechen, Einladungen zur Blue Badge-Verifizierung oder exklusive Werbetreibenden-Belohnungen, Vercel Unicode-Obfuskation in Preheadern, gefälschte reCAPTCHA-Barrieren, live Credential-Validierungs-Skripte, Live Control, dringende Meta-Benachrichtigungen, getarnt als saubere, einbildige Benachrichtigung, Google Drive (Canva PDFs), WebSocket-basierte Live-Phishing-Panels, die eine Echtzeit-Interaktion mit menschlichem Eingriff ermöglichen, Engineering, gefälschte leitende Stellenangebote ßen Tech-Unternehmen wie Meta und Apple, Außerplattform-Kommunikationskanäle, kyrillische Homoglyphen in Absender-Anzeigenamen, Wechsel zu Live-Gesprächen, um langsam Vertrauen aufzubauen.

Hinter den raffinierten Front-End-Ködern stützt sich die AccountDumpling-Operation vollständig auf Telegram-Bots für ihre Command-and-Control-Exfiltration.

Holz als technisches Geruest

Telegram Phishing-Kampagne (Quelle: Guard Labs) Gestohlene Anmeldedaten, Zwei-Faktor-Authentifizierungscodes, Geburtsdaten und Fotos an private Telegram-Kanäle weitergeleitet. Betreiber überwachen diese Streams aktiv, um die gestohlenen Daten zu validieren und Konten in Echtzeit zu übernehmen.

Telemetrie aus der wiederhergestellten Bot-Infrastruktur deutet darauf hin, dass ungefähr 30.000 Opferdatensätze verarbeitet wurden. Eine geografische Analyse zeigt, dass 68,6 Prozent der angegriffenen Einzelpersonen und Unternehmen in den Vereinigten Staaten ansässig sind.

Canva Generiertes Phishing (Quelle: Guard Labs) Guardio Labs konnte den Kern des Vorgangs durch ein kritisches Versäumnis bei der operativen Sicherheit einem vietnamesischen Bedrohungsakteur zurückverfolgen.

Phishing-Kampagne (Quelle: guardLabs) Ein in dem

Phishing-Kampagne (Quelle: guardLabs) Ein in dem dritten Angriffskluster verwendetes Autorenmetadaten und legte den echten Namen „PHẠM TÀI TN“ frei.

Ermittler stellten diesen Namen mit einer öffentlichen Geschäftsidentität in Vietnam in Verbindung, die aktiv Dienste zur Wiederherstellung und Sicherung.

Dies offenbart eine zirkuläre kriminelle Wirtschaft, in der Angreifer wertvolle Geschäftsvermögen stehlen, diese zur Durchführung betrügerischer Kampagnen nutzen und dann versuchen, Wiederherrschtdienste an die ursprünglichen Opfer zu verkaufen. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag Attackers Abuse Google AppSheet, Netlify, and Telegram in Facebook Phishing Campaign erschien zuerst bei Cyber Security News.