30,000 Facebook Accounts Hacked via Google AppSheet Phishing Campaign
ترديد البال: حملة "AccountDumpling" كتستغل Google AppSheet باش تسرق 30,000 كونط Facebook
Alerte Cybersécurité : L’opération « AccountDumpling » détourne Google AppSheet pour pirater 30 000 comptes Facebook
Pour les développeurs et administrateurs système au Maroc, la vigilance est de mise. Une nouvelle campagne de phishing sophistiquée, baptisée AccountDumpling, exploite la confiance accordée aux services Google pour contourner les protections traditionnelles et dérober des identifiants Facebook à grande échelle.
TL;DR (Résumé en 30 secondes)
Une opération d'origine vietnamienne a compromis environ 30 000 comptes Facebook en utilisant Google AppSheet comme relais pour envoyer des emails de phishing indétectables par les filtres anti-spam. Les attaquants ciblent principalement les comptes Facebook Business pour voler des identifiants, des codes 2FA et des documents d'identité. Les données volées sont exfiltrées via Telegram et revendues sur des places de marché illicites.
Le vecteur d'attaque : L'exploitation de Google AppSheet
L'aspect le plus technique et préoccupant de cette campagne réside dans l'utilisation de Google AppSheet (une plateforme "no-code" permettant de créer des applications professionnelles). Les attaquants utilisent cette plateforme comme un "phishing relay" (relais de phishing).
Concrètement, les emails de phishing sont envoyés depuis l'adresse légitime noreply@appsheet.com. Comme cette adresse possède une excellente réputation et provient des serveurs de Google, elle contourne presque systématiquement les filtres de sécurité et les dossiers "Spam" des entreprises. Le message simule une alerte de "Meta Support" avertissant l'utilisateur d'une suppression imminente de son compte s'il ne soumet pas un recours.
Anatomie d'une opération "AccountDumpling"
Selon le chercheur en sécurité Shaked Chen de chez Guardio, il ne s'agit pas d'un simple kit de phishing statique, mais d'une opération vivante avec des panneaux de contrôle en temps réel. La campagne s'articule autour de quatre clusters principaux :
- Pages d'aide Netlify : Utilisation de pages hébergées sur Netlify imitant le centre d'aide Facebook pour collecter des dates de naissance, des numéros de téléphone et des photos de pièces d'identité gouvernementales.
- Faux badges de vérification via Vercel : Les victimes sont dirigées vers des pages de "Security Check" hébergées sur Vercel, protégées par un faux CAPTCHA pour paraître crédibles. Elles y saisissent leurs codes de double authentification (2FA).
- PDFs Canva et Google Drive : Des fichiers PDF créés via la plateforme de design Canva (et stockés sur Google Drive) guident les utilisateurs vers des formulaires de capture. Fait notable : les attaquants utilisent la bibliothèque JavaScript
html2canvaspour effectuer des captures d'écran du navigateur de la victime. - Fausses offres d'emploi : Usurpation d'identité de grandes marques (WhatsApp, Adobe, Apple, Coca-Cola) pour inciter les victimes à poursuivre la discussion sur des sites contrôlés par les pirates.
Attribution et motivation
L'analyse des métadonnées des fichiers PDF a révélé un nom d'auteur vietnamien : PHẠM TÀI TÂN. Les investigations OSINT (Open Source Intelligence) lient ce nom à un site de marketing digital (phamtaitan[.]vn) proposant des services de conseil en stratégie numérique depuis février 2023.
Toutefois, une incertitude subsiste quant à la nature exacte du lien entre ces services marketing légitimes et l'infrastructure cybercriminelle. Ce qui est certain, c'est que les comptes volés alimentent un circuit commercial illicite où ils sont revendus pour leur réputation publicitaire ou leur accès à des comptes business.
Mesures de protection pour les professionnels marocains
Pour les administrateurs et gestionnaires de pages au Maroc, voici les recommandations issues de ce rapport :
- Méfiance envers les emails AppSheet : Apprenez à vos équipes à ignorer les appels à l'action urgents (recours, suppression de compte) provenant d'adresses
appsheet.coms'ils concernent Meta. - Sécurisation FIDO2 : Le phishing 2FA est au cœur de cette attaque. L'utilisation de clés de sécurité matérielles (type YubiKey) basées sur le standard FIDO2 est la seule protection efficace contre l'interception de codes en temps réel.
- Vigilance sur les domaines d'hébergement : Méfiez-vous des pages de support ou de connexion hébergées sur des sous-domaines de services de déploiement comme
netlify.appouvercel.app. Meta n'utilise pas ces services pour son support client. - Vérification des CAPTCHA : Un CAPTCHA sur un domaine non officiel est souvent un signe de "Cloaking" ou de protection du kit de phishing contre les robots d'analyse des sociétés de sécurité.
Conclusion
L'opération AccountDumpling démontre une fois de plus que les attaquants ne cherchent plus à infiltrer des systèmes complexes par des failles Zero-day, mais préfèrent détourner la confiance que nous accordons aux infrastructures cloud (Google, Netlify, Vercel). En transformant des outils de productivité en armes de diffusion, ils parviennent à une efficacité redoutable : 30 000 comptes compromis à ce jour.
Source : The Hacker News - 30,000 Facebook Accounts Hacked via Google AppSheet Phishing Campaign
