Underc0de - La Casa de los Informáticos

La reciente identificación de una operación cibercriminal altamente sofisticada, vinculada a actores en Vietnam, vuelve a poner en evidencia la evolución constante del phishing y el abuso de plataformas legítimas para evadir controles de seguridad. Esta campaña, bautizada como AccountDumpling por la empresa de ciberseguridad Guardio, destaca por utilizar hojas de aplicaciones de Google AppSheet como un "relé de phishing", permitiendo distribuir correos electrónicos maliciosos con una apariencia legítima y alta tasa de éxito.

AccountDumpling: una operación de phishing a gran escala

Según el análisis compartido con The Hacker News, esta campaña no se limita a un simple kit de phishing. Se trata de una infraestructura criminal compleja, con paneles de control en tiempo real, mecanismos avanzados de evasión y un modelo de negocio completamente estructurado. El investigador Shaked Chen describe esta operación como un ecosistema "vivo", capaz de adaptarse, evolucionar y monetizar continuamente las cuentas comprometidas.

Se estima que más de 30.000 cuentas de Facebook han sido hackeadas como parte de esta campaña, afectando principalmente a usuarios de Meta con perfiles empresariales o activos publicitarios. Estas cuentas son posteriormente revendidas en mercados clandestinos, generando beneficios económicos significativos para los atacantes.

Cómo funciona el ataque: ingeniería social y abuso de plataformas confiables

El vector inicial de ataque es un correo electrónico de phishing dirigido a administradores de cuentas de Facebook Business. Estos mensajes simulan provenir del soporte oficial de Meta, alertando sobre una supuesta infracción que podría resultar en la eliminación permanente de la cuenta.

Lo más preocupante es que los correos se envían desde direcciones legítimas como "[email protected]
", lo que les permite evadir filtros de spam tradicionales. Esta técnica aprovecha la reputación de plataformas confiables como Google para aumentar la credibilidad del ataque.

Una vez que la víctima interactúa con el mensaje, es redirigida a una página fraudulenta diseñada para capturar credenciales de acceso. Estas páginas imitan con precisión los portales oficiales de Meta, generando una falsa sensación de urgencia que impulsa a los usuarios a actuar sin verificar la autenticidad.

Tácticas avanzadas: múltiples señuelos y exfiltración de datos

En las últimas semanas, los atacantes han diversificado sus estrategias utilizando diferentes tipos de señuelos psicológicos, todos centrados en generar "pánico relacionado con Meta". Entre los más comunes se encuentran:

• Alertas de desactivación de cuentas
• Reclamos por derechos de autor
• Solicitudes de verificación de identidad
• Notificaciones de accesos sospechosos
• Ofertas laborales falsas

Guardio identificó cuatro principales grupos de ataque dentro de esta campaña:

1. Páginas falsas alojadas en Netlify

Estas páginas simulan centros de ayuda de Facebook y permiten el robo de datos sensibles como fechas de nacimiento, números telefónicos e identificaciones oficiales. La información es enviada a canales controlados por los atacantes en Telegram.

2. Señuelos de verificación (insignia azul)

Las víctimas son dirigidas a páginas falsas de "Security Check" que incluyen CAPTCHA fraudulentos. Posteriormente, se les solicita ingresar credenciales, datos empresariales y códigos de autenticación de dos factores (2FA), que son interceptados por los atacantes.

3. PDFs maliciosos alojados en Google Drive

Estos documentos, creados con cuentas gratuitas de Canva, contienen instrucciones falsas para verificar cuentas. Solicitan información altamente sensible, incluyendo contraseñas, códigos 2FA y documentos de identidad. Incluso utilizan herramientas como html2canvas para capturar datos directamente del navegador.

4. Ofertas de empleo fraudulentas

Los atacantes se hacen pasar por empresas reconocidas como WhatsApp, Adobe, Apple o Coca-Cola para generar confianza. Posteriormente, redirigen a las víctimas a plataformas controladas para continuar el engaño.

Infraestructura criminal y monetización

Uno de los aspectos más alarmantes de AccountDumpling es su modelo de negocio. Los datos robados no solo se utilizan para acceder a cuentas, sino que también alimentan un mercado negro donde se comercian activos digitales como:

• Cuentas publicitarias verificadas
• Identidades empresariales
• Historiales de campañas
• Accesos privilegiados

Los canales de Telegram vinculados a esta operación almacenaban cerca de 30.000 registros de víctimas, muchas de las cuales fueron completamente bloqueadas de sus propias cuentas.

Evidencia y atribución: rastros hacia Vietnam

La atribución de esta campaña a actores vietnamitas se sustenta en múltiples evidencias. Entre ellas, destacan los metadatos encontrados en documentos PDF generados con Canva, que identifican a un usuario llamado "PHẠM TÀI TÂN". Investigaciones adicionales revelaron la existencia de un sitio web asociado que ofrece servicios de marketing digital, lo que sugiere una conexión directa entre actividades legítimas y operaciones ilícitas.

Implicaciones para la ciberseguridad

Este caso refleja una tendencia creciente en el panorama de amenazas: el uso de plataformas legítimas como vectores de ataque. Servicios como Google AppSheet, Netlify o Google Drive están siendo reutilizados como capas de entrega, alojamiento y monetización, dificultando la detección por parte de soluciones tradicionales.

Además, pone en evidencia la profesionalización del cibercrimen, donde los atacantes operan como verdaderas empresas, con estructuras organizadas, atención al "cliente" y ciclos de monetización bien definidos.

Recomendaciones para protegerse

Para mitigar el riesgo de caer en este tipo de ataques, se recomienda:

• Verificar siempre la autenticidad de los correos electrónicos
• No hacer clic en enlaces sospechosos
• Activar autenticación multifactor (MFA)
• Revisar la URL antes de ingresar credenciales
• Utilizar soluciones de seguridad avanzadas

Fuente: https://thehackernews.com/