Uma operação recém-descoberta, ligada ao Vietnã, foi observada usando o Google AppSheet como uma espécie de relay de phishing para distribuir e-mails maliciosos com o objetivo de comprometer contas do Facebook.
A atividade foi batizada de AccountDumpling pela Guardio.
Segundo a investigação, o esquema vende as contas roubadas por meio de uma loja clandestina administrada pelos threat actors.
No total, cerca de 30.000 contas do Facebook teriam sido invadidas como parte da campanha.
“O que encontramos não foi apenas um kit de phishing”, escreveu o pesquisador de segurança Shaked Chen.
“Era uma operação viva, com painéis de operador em tempo real, técnicas avançadas de evasão, evolução contínua e um ciclo criminoso-comercial que se alimenta silenciosamente das mesmas contas que ajuda a roubar.”
Os resultados são mais um exemplo de como threat actors vietnamitas continuam a adotar diferentes táticas para obter acesso não autorizado às contas do Facebook das vítimas, que depois são vendidas em ecossistemas clandestinos em troca de dinheiro.
O ponto de partida dos ataques mais recentes é um e-mail de phishing direcionado a donos de contas comerciais do Facebook.
A mensagem afirma ser do suporte da Meta e pressiona a vítima a enviar uma apelação, sob pena de ter a conta excluída permanentemente.
Os e-mails são enviados a partir de um endereço do Google AppSheet, [email protected], o que ajuda a burlar filtros de spam.
Esse falso senso de urgência é usado para levar o usuário a uma página falsa criada para capturar credenciais.
Vale lembrar que uma campanha semelhante foi reportada pela KnowBe4 em maio de 2025.
Nas últimas semanas, essas campanhas passaram a usar diferentes iscas para provocar um “pânico relacionado à Meta”.
Entre elas estão alertas de desativação de conta, reclamações de direitos autorais, revisão de verificação, recrutamento executivo e avisos de login no Facebook.
Os quatro principais grupos identificados pela Guardio são os seguintes.
Páginas de central de ajuda do Facebook hospedadas na Netlify, que permitem ataques de tomada de conta e também coletam datas de nascimento, números de telefone e fotos de documentos oficiais.
Os dados acabam sendo enviados para um canal no Telegram controlado pelo atacante.
Iscas de avaliação de selo azul que levam as vítimas a páginas “Security Check” ou “Meta | Privacy Center” hospedadas na Vercel.
Antes de direcionar o usuário à página de phishing, há uma falsa verificação CAPTCHA.
Nesse fluxo, são coletados dados de contato, informações comerciais, credenciais, após uma segunda tentativa forçada, e códigos de 2FA, que são então exfiltrados para um canal no Telegram.
PDFs hospedados no Google Drive que se passam por instruções para concluir a verificação da conta.
Eles levam o usuário a fornecer senhas, códigos de 2FA, fotos de documentos oficiais e capturas de tela do navegador por meio do html2canvas.
Os documentos são gerados com uma conta gratuita do Canva.
Falsas ofertas de emprego que se fazem passar por empresas como WhatsApp, Meta, Adobe, Pinterest, Apple e Coca-Cola para ganhar a confiança das vítimas e levá-las a entrar em uma chamada ou continuar a conversa em sites controlados pelos atacantes.
Somando os dados, os canais no Telegram associados aos três primeiros grupos armazenavam cerca de 30.000 registros de vítimas.
A maioria está localizada nos Estados Unidos, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México, e perdeu o acesso às próprias contas.
Quanto a quem está por trás da operação, a evidência mais forte veio dos PDFs gerados no terceiro grupo com a conta gratuita do Canva.
Os metadados indicavam um nome vietnamita, PHẠM TÀI TÂN, como autor dos arquivos.
Uma nova inteligência de código aberto levou à descoberta de um site, phamtaitan[.]vn, no qual são oferecidos serviços de marketing digital.
Em uma publicação compartilhada no X em fevereiro de 2023, o perfil ligado ao site afirmou que “é especializado em fornecer serviços de marketing digital, recursos de marketing e consultoria sobre estratégias eficazes de marketing digital”.
“Juntos, esses elementos formam uma imagem consistente de uma grande operação, sediada no Vietnã”, afirmou Chen.
“Essa campanha é maior do que um simples abuso do AppSheet. Ela é uma janela para o mercado obscuro em torno de ativos roubados do Facebook, onde acesso, identidade comercial, reputação em anúncios e até recuperação de conta se tornaram mercadorias negociáveis. Mais uma peça no padrão que continuamos identificando: plataformas confiáveis sendo reaproveitadas como camadas de entrega, hospedagem e monetização.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...