ترديد البال: حملة "AccountDumpling" كتستغل Google AppSheet باش تسرق 30,000 كونط Facebook

بالنسبة للديفلوبورز والآدمين (SysAdmins) فالمغرب، خاصكم تردو بالكم مزيان. كاين واحد الهجوم جديد ومطور سميتو AccountDumpling، كيستغل الثقة اللي كيعطيوها الناس والأنظمة للسيرفيسات ديال Google باش يتخطاو الحماية العادية ويسرقو الـ credentials ديال Facebook بواحد الطريقة احترافية.

TL;DR (المفيد فـ 30 ثانية)

واحد المجموعة من ڤيتنام قدرات تخترق تقريبا 30,000 كونط Facebook باستعمال Google AppSheet. كايستعملوه بحال "قنطرة" (relay) باش يصيفطو إيميلات Phishing مكيشدهمش الرادار ديال Anti-spam. الهدف ديالهم هو كونطاط Facebook Business باش يديو اللوڭينات، كودات 2FA وحتى التصاور ديال لاكارط ناسيونال. هاد الداتا كتمشي لـ Telegram ومن بعد كيبيعوها فالسوق الكحلة.

---

كيفاش كيتم الهجوم: استغلال Google AppSheet

أخطر حاجة فهاد الحملة هي استعمال Google AppSheet (هاديك المنصة اللي كتصاوب بها تطبيقات بلا كود). المهاجمين كايستعملوها كـ "Phishing Relay".

تقنيا، الإيميلات كيوصلو من عنوان حقيقي وصحيح اللي هو noreply@appsheet.com. وبما أن هاد العنوان عندو "سمعة مزيانة" (Reputation) وكايجي من السيرفرات ديال Google، الفلترات ديال Sécurité كيدوزوه نيشان للـ Inbox بلا ما يمشي للـ Spam. الميساج كيكون كيوهم الضحية باللي "Meta Support" كيعلمو باللي الكونط ديالو غادي يتسد إلا مادايرش طعن (Appeal).

مراحل عملية "AccountDumpling"

على حساب الباحث Shaked Chen من شركة Guardio، هادشي ماشي غير Phishing Kit عادي، بل هو سيستيم متكامل فيه لوحة تحكم (Control Panel) كتشوف الضحايا فـ الوقت الحقيقي. الخدمة مقسمة على 4 ديال المجموعات:

1. صفحات Netlify: كايستعملو صفحات مستضافة فـ Netlify كاتشبه لمركز المساعدة ديال Facebook باش يجمعو تاريخ الميلاد، نمرة التيليفون، وتصاور ديال Identity Documents (بحال لاكارط ناسيونال).
2. Badges ديال التوثيق فـ Vercel: كيدييو الضحايا لصفحات "Security Check" فـ Vercel، وكيحطو فيها CAPTCHA مزور باش تبان الخدمة حقيقية، تما كايصيدو كودات 2FA.
3. ملفات PDF فـ Canva و Google Drive: كايصاوبو ملفات PDF بـ Canva كيكون فيها روابط كتديك للفورمير. الملاحظ هو أنهم كيستعملو Librairie ديال JavaScript سميتها html2canvas باش ياخدو Screen captures من المتصفح ديال الضحية.
4. عروض عمل وهمية: كينتحلو صفة شركات كبار مثل Apple و WhatsApp و Adobe باش يطمعو الضحايا ويكملو معاهم الهضرة فمواقع كتحكمو فيها الشفارة.

شكون مول هادشي؟

من بعد ما حللو الـ Metadata ديال ملفات الـ PDF، لقاو سمية ديال واحد الشخص ڤيتنامي: PHẠM TÀI TÂN. وفاش قلبو بـ OSINT، لقاو هاد السمية مرتبطة بسيت ديال Digital Marketing سميتو phamtaitan[.]vn خدام من فبراير 2023.

واخا باقة مكيناش تأكيدات 100% واش هاد الوكالة هي اللي كدير هادشي ولا غير تم استغلال السيستيم ديالها، اللي باين هو أن هاد الكونطات اللي كيتحفرو كيتستعملو فـ الإعلانات (Ads) ولا كيتباعو حيت فيهم Business Access.

كيفاش تحمي راسك (نصائح للمغاربة)

إلا كنتي مسير ديال Pages أو خدام فـ IT فالمغرب، هاهو شنو خاصك دير:

• رد بالك من إيميلات AppSheet: علم الدراري اللي معاك باللي أي إيميل جاي من appsheet.com وكيهضر على Meta أو سد الكونط، راه غالبا فيه "الـقالب".
• استعمل FIDO2: الـ Phishing كيقدر يدي ليك كود 2FA (ديال SMS أو App). الحل الوحيد اللي كيهني هو مفاتيح الأمان الفيزيائية (بحال YubiKey) اللي كتخدم بـ FIDO2.
• حضي الـ Domains: Meta عمرها ما غادي تستعمل سيتات بحال netlify.app كصفحة دعم. أي رابط كيرسل لـ دوت كوم ماشي رسمي، هرب منو.
• حضي من الـ CAPTCHA البراني: فاش كتلقى CAPTCHA فشي سيت ماشي رسمي، راه كيديروه غير باش يغلطو الـ Bots ديال شركات الحماية وميقدروش يحللو الـ Phishing kit.

خلاصة

عملية AccountDumpling كبين لينا باللي الشفارة مبقاوش كيقلبو غير على ثغرات Zero-day معقدة، ولاو كيستغلو الثقة ديالنا فـ Cloud Infrastructure (Google, Netlify, Vercel). فاش أدوات ديال الخدمة كتولي سلاح فإيد المجرمين، النتائج كتكون كارثية: 30,000 ضحية والعدد مازال كيتزاد.

المصدر: The Hacker News - 30,000 Facebook Accounts Hacked via Google AppSheet Phishing Campaign