Campagne d'hameçonnage AccountDumpling
Une vaste campagne de cybercriminalité, attribuée à un groupe de cybercriminels lié au Vietnam et baptisée AccountDumpling, a été identifiée. Elle utilise Google AppSheet comme relais d'hameçonnage. Cette opération diffuse des courriels trompeurs dans le but principal de compromettre les comptes Facebook, notamment ceux des entreprises.
Contrairement aux campagnes de phishing classiques, il ne s'agit pas d'un ensemble d'outils statique, mais d'un écosystème dynamique et en constante évolution. Il intègre des tableaux de bord opérateurs en temps réel, des techniques d'évasion avancées et un système de monétisation structuré. Les comptes volés sont réinjectés dans un marché noir contrôlé par les attaquants, créant ainsi un cercle vicieux. Environ 30 000 comptes Facebook ont été compromis dans le cadre de cette campagne.
Table des matières
La confiance instrumentalisée : exploiter Google AppSheet pour la distribution d’e-mails
L'attaque débute par des courriels d'hameçonnage soigneusement conçus, usurpant l'identité du support technique de Meta. Ces messages ciblent les titulaires de comptes Facebook Business, les avertissant d'une suppression imminente de leur compte s'ils ne réagissent pas immédiatement. Les victimes sont incitées à faire appel via des liens intégrés.
Un facteur clé de l'efficacité de la campagne réside dans l'utilisation d'une infrastructure légitime. Les e-mails sont envoyés depuis une adresse Google AppSheet (« noreply@appsheet.com »), ce qui leur permet de contourner de nombreux filtres anti-spam et de sécurité classiques. Cette tactique renforce la crédibilité et augmente les chances d'engagement des utilisateurs.
L'urgence exprimée dans ces messages redirige les destinataires vers des sites web frauduleux conçus pour dérober des identifiants sensibles. Des schémas d'attaque similaires ont été observés lors de campagnes précédentes, ce qui indique un perfectionnement et une réutilisation constants des techniques efficaces.
Manipulation psychologique : ingénierie de la « métapanique »
Les attaquants utilisent diverses techniques d'ingénierie sociale pour semer la panique et obtenir une réaction rapide des utilisateurs. Ces techniques sont conçues pour imiter les communications légitimes de Meta et exploiter les peurs.
Les principales catégories de leurres comprennent :
Menaces liées au compte : allégations de suspension de compte, de violation de droits d’auteur ou de demandes de vérification urgentes
Alertes de sécurité : Notifications de connexions suspectes ou de contrôles de sécurité obligatoires
Avantages liés aux affaires et au statut : offres de vérification de badge bleu ou opportunités de recrutement de cadres.
Usurpation d'identité d'entreprise : Fausses offres d'emploi de marques connues pour instaurer la confiance et susciter l'engagement.
Chaque leurre est conçu sur mesure pour manipuler le comportement de l'utilisateur, augmentant ainsi la probabilité de divulgation des identifiants.
Infrastructure de phishing multicanal : mécanismes de diffusion diversifiés
Cette campagne se caractérise par l'utilisation de multiples plateformes d'hébergement et méthodes de diffusion, chacune jouant un rôle spécifique dans la collecte et l'exfiltration des données. Les quatre principaux groupes d'attaques sont les suivants :
- Pages d'hameçonnage hébergées sur Netlify : faux portails du Centre d'aide Facebook conçus pour capturer les identifiants de connexion, les données personnelles et les pièces d'identité officielles. Les données collectées sont transmises à des chaînes Telegram contrôlées par les attaquants.
- Pages de « vérification de sécurité » hébergées par Vercel : ces pages imitent les portails de confidentialité ou de sécurité de Meta et incluent de faux défis CAPTCHA. Les victimes sont invitées à ressaisir leurs identifiants et à fournir des codes d’authentification à deux facteurs (2FA), qui sont tous exfiltrés en temps réel.
- Pièges PDF hébergés sur Google Drive : déguisés en instructions de vérification officielles, ces documents redirigent les utilisateurs vers des pages d’hameçonnage qui collectent les mots de passe, les codes 2FA, les photos d’identité et même les captures d’écran du navigateur à l’aide de scripts intégrés.
- Faux processus de recrutement : usurpation d’identité de grandes entreprises pour établir sa crédibilité, suivie d’une redirection vers des plateformes malveillantes pour une interaction plus poussée et la collecte de données.
L'ensemble des chaînes Telegram liées à ces groupes contiennent environ 30 000 enregistrements de victimes. Les personnes touchées se trouvent principalement en Amérique du Nord, en Europe, en Asie et en Australie, et beaucoup d'entre elles ont perdu l'accès à leurs comptes.
Analyse de l’attribution : identifier les acteurs à l’origine de la campagne
Des preuves cruciales d'attribution ont émergé des métadonnées intégrées aux fichiers PDF d'hameçonnage générés via un compte Canva gratuit. Ces fichiers indiquent « PHẠM TÀI TÂN » comme auteur, établissant ainsi un lien direct avec la personne potentiellement responsable de cette opération.
Des recherches complémentaires en sources ouvertes ont révélé l'existence d'un site web correspondant, « phamtaitan.vn », qui propose des services de marketing digital. Les déclarations publiques associées à cette entité indiquent une spécialisation dans les ressources marketing et le conseil stratégique, suggérant ainsi une double compétence susceptible d'être exploitée à des fins légitimes comme malveillantes.
L’économie souterraine : monétiser les identités numériques compromises
Cette campagne illustre une tendance plus large en matière de cybercriminalité : la marchandisation des identités numériques. Les comptes Facebook compromis ne sont pas de simples points d’accès, mais des actifs précieux au sein d’un marché noir florissant.
Les attaquants monnayent l'accès aux comptes en fonction de critères tels que l'affiliation professionnelle, l'historique publicitaire et le potentiel de récupération. Cette opération démontre comment des plateformes de confiance, comme Google AppSheet, Netlify et Vercel, sont détournées de leur usage initial en tant que couches d'infrastructure pour la diffusion, l'hébergement et la monétisation.
La campagne AccountDumpling illustre parfaitement comment les acteurs malveillants modernes intègrent l'ingénierie sociale, les services cloud et l'économie souterraine dans une entreprise cybercriminelle cohérente et évolutive.
