حملة “AccountDumpling” تستغل Google AppSheet لسرقة حسابات فيسبوك
تم الكشف عن عملية قرصنة جديدة تقف وراءها جهات فيتنامية، تستخدم خدمة Google AppSheet كـ “قناة لإعادة توجيه التصيد الاحتيالي” لنشر رسائل بريد إلكتروني خبيثة تهدف إلى اختراق حسابات فيسبوك. يُطلق على هذه الحملة اسم “AccountDumpling”، ويُقدر أنها نجحت في سرقة حوالي 30,000 حساب فيسبوك.
هذه الواقعة هي أحدث مثال على التكتيكات المتطورة التي يتبعها جهات التهديد الفيتنامية للوصول غير المصرح به إلى حسابات فيسبوك، والتي يتم بيعها لاحقًا في أسواق سوداء عبر الإنترنت لتحقيق مكاسب مالية. وتُعد هذه الحملة بمثابة شهادة على استمرار تطور مشهد الأمن السيبراني.
آلية عمل حملة “AccountDumpling”
التصيد الاحتيالي عبر البريد الإلكتروني
تبدأ الهجمات الأخيرة برسالة بريد إلكتروني تستهدف أصحاب حسابات فيسبوك التجارية، تدعي أنها من دعم ميتا (Meta)، وتحث المستخدمين على تقديم استئناف بسرعة لتجنب الحذف الدائم للحساب. المثير للاهتمام أن هذه الرسائل تُرسل من عناوين Google AppSheet (“[email protected]”)، مما يساعدها على تجاوز مرشحات البريد العشوائي.
يتم استغلال هذا الشعور الزائف بالإلحاح لتوجيه المستخدمين إلى صفحة ويب وهمية مصممة لسرقة بيانات اعتمادهم. وتجدر الإشارة إلى أنه تم الإبلاغ عن حملة مماثلة من قبل KnowBe4 في مايو 2025، مما يشير إلى تكرار هذه الأنماط.
أنواع الطُعم المستخدمة
على مدى الأسابيع القليلة الماضية، اعتمدت الحملات على أنواع مختلفة من الطُعم لإثارة “ذعر متعلق بالمحتوى الخاص بميتا”. تتراوح هذه بين تعطيل الحسابات، وشكاوى حقوق النشر، ومراجعات التحقق، وعروض التوظيف التنفيذية، وتنبيهات تسجيل الدخول إلى فيسبوك.
وتشمل المجموعات الأربع الرئيسية التي حددها فريق Guardio ما يلي:
- صفحات مركز مساعدة فيسبوك المستضافة على Netlify، والتي تتيح الاستيلاء على الحسابات، بالإضافة إلى جمع تواريخ الميلاد وأرقام الهواتف وصور وثائق الهوية الرسمية. يتم إرسال البيانات في النهاية إلى قناة تليجرام يتحكم بها المهاجم.
- عروض وهمية لتقييم “الشارة الزرقاء” توجه الضحايا إلى صفحات “فحص الأمان” أو “مركز الخصوصية لميتا” المستضافة على Vercel، والتي تتطلب اجتياز اختبار CAPTCHA وهمي قبل توجيه المستخدمين إلى صفحة التصيد الاحتيالي لجمع تفاصيل الاتصال، ومعلومات الأعمال، وبيانات الاعتماد (بعد إعادة محاولة إجبارية)، ورموز المصادقة الثنائية (2FA) وإرسالها إلى قناة تليجرام.
- ملفات PDF مستضافة على Google Drive تبدو وكأنها تعليمات لإكمال التحقق من الحساب، لتوجيه المستخدمين إلى جمع كلمات المرور ورموز 2FA وصور الهوية الرسمية ولقطات شاشة المتصفح عبر html2canvas. يتم إنشاء مستندات PDF باستخدام حساب Canva مجاني.
- عروض عمل وهمية تنتحل صفة شركات مثل WhatsApp وMeta وAdobe وPinterest وApple وCoca-Cola لبناء الثقة مع المستلمين وطلب الانضمام إلى مكالمة أو مواصلة المناقشة على مواقع يتحكم بها المهاجم.
بشكل تراكمي، تحتوي قنوات تليجرام المرتبطة بالمجموعات الثلاث الأولى على حوالي 30,000 سجل لضحايا، معظمهم متواجدون في الولايات المتحدة وإيطاليا وكندا والفلبين والهند وإسبانيا وأستراليا والمملكة المتحدة والبرازيل والمكسيك، وقد تم حرمانهم من الوصول إلى حساباتهم الخاصة.
هوية الجهات وراء الحملة
فيما يتعلق بالجهات التي تقف وراء العملية، فقد ظهرت أدلة قاطعة من ملفات PDF التي تم إنشاؤها كجزء من المجموعة الثالثة باستخدام حساب Canva المجاني، حيث أدرجت البيانات الوصفية اسمًا فيتناميًا “PHẠM TÀI TÂN” كمؤلف للملفات. وقد أدت استخبارات المصادر المفتوحة الإضافية إلى اكتشاف موقع ويب (“phamtaitan[.]vn”)، حيث يقدمون خدمات التسويق الرقمي.
في منشور تم مشاركته على X في فبراير 2023، ذكر حساب الموقع أنه “متخصص في تقديم خدمات التسويق الرقمي، وموارد التسويق، والاستشارات حول استراتيجيات التسويق الرقمي الفعالة”.
يقول الباحث الأمني شاكيد تشين: “مجتمعة، تشكل هذه الجهات صورة متسقة لعملية ضخمة ومقرها في فيتنام. هذه الحملة أكبر من مجرد إساءة استخدام AppSheet واحدة. إنها نافذة على السوق المظلم حول أصول فيسبوك المسروقة، حيث أصبح الوصول وهوية الأعمال وسمعة الإعلانات وحتى استعادة الحساب كلها سلعًا قابلة للتداول. وهذا يُضاف إلى النمط الذي نكتشفه باستمرار: منصات موثوقة يُعاد استخدامها كطبقات للتسليم والاستضافة والتمويل.”