AccountDumpling-Phishing-Kampagne
Eine großangelegte Cyberkriminalitätskampagne, die einer vietnamesischen Bedrohungsgruppe zugeschrieben wird und den Namen „AccountDumpling“ trägt, nutzt Google Apps Sheets als Phishing-Relay-Mechanismus. Im Rahmen dieser Operation werden betrügerische E-Mails versendet, deren Hauptziel die Kompromittierung von Facebook-Konten ist, insbesondere von Geschäftskunden.
Anders als bei herkömmlichen Phishing-Kampagnen handelt es sich hierbei nicht um ein statisches Werkzeugset, sondern um ein dynamisches und sich ständig weiterentwickelndes Ökosystem. Es umfasst Echtzeit-Dashboards für die Angreifer, ausgefeilte Ausweichtechniken und eine strukturierte Monetarisierungspipeline. Gestohlene Konten werden in einen von den Angreifern kontrollierten Untergrundmarkt zurückgeleitet, wodurch ein sich selbst erhaltender krimineller Kreislauf entsteht. Im Rahmen dieser Kampagne wurden etwa 30.000 Facebook-Konten kompromittiert.
Inhaltsverzeichnis
Vertrauen als Waffe: Ausnutzung von Google AppSheet für die E-Mail-Zustellung
Die Angriffskette beginnt mit sorgfältig gestalteten Phishing-E-Mails, die den Meta-Support imitieren. Diese Nachrichten zielen auf Inhaber von Facebook-Business-Konten ab und warnen sie vor der bevorstehenden Kontolöschung, falls sie nicht umgehend handeln. Die Opfer werden aufgefordert, über eingebettete Links Einspruch einzulegen.
Ein Schlüsselfaktor für den Erfolg der Kampagne ist die Nutzung einer legitimen Infrastruktur. Die E-Mails werden von einer Google Apps Sheets-Adresse („noreply@appsheet.com“) versendet, wodurch viele herkömmliche Spam- und Sicherheitsfilter umgangen werden. Diese Taktik stärkt die Glaubwürdigkeit und erhöht die Wahrscheinlichkeit der Nutzerinteraktion.
Die in diesen Nachrichten vermittelte Dringlichkeit lenkt die Empfänger auf betrügerische Webseiten, die darauf abzielen, sensible Zugangsdaten zu stehlen. Ähnliche Angriffsmuster wurden bereits in früheren Kampagnen beobachtet, was auf eine kontinuierliche Weiterentwicklung und Wiederverwendung erfolgreicher Techniken hindeutet.
Psychologische Manipulation: Die Erschaffung von „Meta-Panik“
Die Angreifer nutzen verschiedene Social-Engineering-Methoden, um Panik auszulösen und Nutzer zu einer schnellen Reaktion zu zwingen. Diese Methoden sind strategisch so gestaltet, dass sie legitime Metakommunikation imitieren und Angstszenarien ausnutzen.
Zu den wichtigsten Köderkategorien gehören:
Bedrohungen im Zusammenhang mit dem Konto : Behauptungen über Kontosperrungen, Urheberrechtsverletzungen oder dringende Verifizierungsanforderungen
Sicherheitswarnungen : Benachrichtigungen über verdächtige Anmeldeversuche oder obligatorische Sicherheitsüberprüfungen
Geschäftliche und Statusanreize : Angebote zur Überprüfung des blauen Ausweises oder Möglichkeiten zur Rekrutierung von Führungskräften
Firmenfälschung : Gefälschte Stellenangebote bekannter Marken, um Vertrauen aufzubauen und Interesse zu wecken.
Jeder Köder ist darauf ausgelegt, das Nutzerverhalten zu manipulieren und so die Wahrscheinlichkeit der Preisgabe von Zugangsdaten zu erhöhen.
Multi-Channel-Phishing-Infrastruktur: Diverse Übermittlungsmechanismen
Die Kampagne zeichnet sich durch die Nutzung mehrerer Hosting-Plattformen und Übertragungsmethoden aus, die jeweils eine spezifische Rolle bei der Datenerfassung und -exfiltration spielen. Die vier primären Angriffscluster umfassen:
- Auf Netlify gehostete Phishing-Seiten: Gefälschte Facebook-Hilfeportale, die Anmeldedaten, persönliche Daten und amtliche Ausweisdokumente abfangen sollen. Die gesammelten Daten werden an von Angreifern kontrollierte Telegram-Kanäle übermittelt.
- Von Vercel gehostete „Sicherheitsprüfungsseiten“: Diese Seiten simulieren Meta-Datenschutz- oder Sicherheitsportale und enthalten gefälschte CAPTCHA-Abfragen. Opfer werden aufgefordert, ihre Zugangsdaten erneut einzugeben und Zwei-Faktor-Authentifizierungscodes (2FA) anzugeben, die alle in Echtzeit abgefangen werden.
- In Google Drive gehostete PDF-Köder: Diese Dokumente, die als offizielle Verifizierungsanweisungen getarnt sind, leiten die Benutzer auf Phishing-Seiten weiter, die mithilfe eingebetteter Skripte Passwörter, 2FA-Codes, Ausweisfotos und sogar Browser-Screenshots sammeln.
- Gefälschte Rekrutierungsprozesse: Vortäuschung der Identität großer Unternehmen, um Glaubwürdigkeit zu erlangen, gefolgt von der Weiterleitung auf bösartige Plattformen zur weiteren Interaktion und Datenerfassung.
Die mit diesen Clustern verknüpften Telegram-Kanäle enthalten insgesamt etwa 30.000 Datensätze von Betroffenen. Die Betroffenen befinden sich überwiegend in Nordamerika, Europa, Asien und Australien, viele von ihnen haben den Zugriff auf ihre Konten verloren.
Attribution Insights: Die Akteure hinter der Kampagne aufspüren
Entscheidende Hinweise zur Urheberschaft ergaben sich aus Metadaten, die in den mit einem kostenlosen Canva-Konto erstellten Phishing-PDFs eingebettet waren. Die Dateien nennen „PHẠM TÀI TÂN“ als Autor und stellen somit eine direkte Verbindung zu der Person her, die möglicherweise für die Aktion verantwortlich ist.
Weitere Recherchen in öffentlich zugänglichen Quellen ergaben eine zugehörige Website, „phamtaitan.vn“, die digitale Marketingdienstleistungen anbietet. Öffentliche Äußerungen dieser Organisation deuten auf einen Schwerpunkt auf Marketingressourcen und strategische Beratung hin, was auf Fähigkeiten schließen lässt, die sowohl für legitime als auch für betrügerische Zwecke genutzt werden können.
Die Schattenwirtschaft: Die Monetarisierung kompromittierter digitaler Identitäten
Diese Kampagne verdeutlicht einen umfassenderen Trend in der Cyberkriminalität: die Kommerzialisierung digitaler Identitäten. Kompromittierte Facebook-Konten sind nicht bloß Endpunkte, sondern wertvolle Güter auf einem florierenden Untergrundmarkt.
Angreifer handeln mit dem Zugang zu Konten basierend auf Faktoren wie Geschäftsbeziehungen, Werbehistorie und Wiederherstellungspotenzial. Die Operation zeigt, wie vertrauenswürdige Plattformen wie Google AppSheet, Netlify, Vercel und andere als Infrastrukturschichten für Auslieferung, Hosting und Monetarisierung umfunktioniert werden.
Die AccountDumpling-Kampagne dient als klares Beispiel dafür, wie moderne Bedrohungsakteure Social Engineering, Cloud-Dienste und Schattenwirtschaft in ein zusammenhängendes und skalierbares Cyberkriminalitätsunternehmen integrieren.
