La campagne AccountDumpling exploite l'infrastructure Google AppSheet
Les chercheurs en sécurité de Guardio ont découvert le 1er mai 2026 une opération de phishing sophistiquée liée au Vietnam, qui a utilisé la plateforme AppSheet de Google pour orchestrer un vol à grande échelle de données d'identification Facebook. La campagne, baptisée AccountDumpling, représente un nouvel abus des services cloud légitimes pour contourner les filtres de sécurité des e-mails traditionnels et établir une infrastructure de phishing persistante.
Les attaquants ont exploité la réputation de domaine légitime de Google AppSheet et ses capacités intégrées d'e-mail pour créer ce que les chercheurs décrivent comme un système de "relais de phishing". Cette approche a permis aux acteurs de la menace d'envoyer des e-mails de phishing convaincants qui semblaient provenir de l'infrastructure de confiance de Google, augmentant considérablement leur taux de réussite contre les utilisateurs de Facebook non méfiants. La sophistication de la campagne va au-delà de la simple collecte de données d'identification, incorporant une validation automatisée des comptes et une monétisation immédiate via des marchés clandestins.
L'enquête de Guardio a révélé que l'opération avait été en cours pendant plusieurs semaines avant d'être détectée, les attaquants affinant continuellement leurs techniques pour échapper aux mesures de sécurité. L'utilisation d'AppSheet représente une évolution préoccupante des tactiques de phishing, car elle exploite la confiance inhérente que les utilisateurs placent dans l'écosystème de Google. La campagne ciblait les utilisateurs de Facebook dans plusieurs régions, avec un accent particulier sur les comptes avec des pages professionnelles et des capacités publicitaires, qui commandent des prix plus élevés sur les marchés clandestins.
Les acteurs de la menace ont démontré une sécurité opérationnelle avancée en compartimentant leur infrastructure sur plusieurs plateformes. Au-delà de Google AppSheet, l'opération a incorporé Netlify pour héberger des pages de destination malveillantes et Telegram pour les communications de commande et de contrôle. Cette approche multi-plateforme a rendu les efforts de détection et de démantèlement beaucoup plus difficiles pour les équipes de sécurité et les fournisseurs de plateformes.
Utilisateurs de Facebook et détenteurs de comptes professionnels ciblés
L'opération AccountDumpling a spécifiquement ciblé les utilisateurs de Facebook avec des profils de compte précieux, y compris les administrateurs de pages professionnelles, les détenteurs de comptes publicitaires et les utilisateurs avec des réseaux sociaux établis. Les chercheurs en sécurité estiment qu'environ 30 000 comptes Facebook ont été compromis pendant la période active de la campagne. Les attaquants ont priorisé les comptes avec un potentiel de monétisation, en particulier ceux liés à Facebook Business Manager ou avec des campagnes publicitaires actives en cours.
Les victimes se sont étendues sur plusieurs régions géographiques, bien que la campagne ait montré une concentration particulière dans les marchés anglophones et les régions avec des taux élevés d'adoption des affaires sur Facebook. Les e-mails de phishing étaient conçus pour apparaître comme des notifications de sécurité légitimes de Facebook, avertissant les utilisateurs de tentatives de connexion suspectes ou de violations de politique nécessitant une vérification immédiate du compte. Les utilisateurs qui ont été victimes de ces e-mails ont été dirigés vers des pages de connexion Facebook répliques convaincantes hébergées sur une infrastructure compromise.
Les propriétaires de petites entreprises et les gestionnaires de médias sociaux représentaient une part importante de la base d'utilisateurs affectée, car ces comptes ont souvent des privilèges élevés et un accès aux budgets publicitaires. Les attaquants ont spécifiquement recherché des comptes avec des méthodes de paiement attachées, des campagnes publicitaires actives ou de grandes bases de followers qui pourraient être exploitées pour d'autres activités malveillantes. Les comptes compromis ont ensuite été triés et évalués en fonction de leur valeur perçue sur les marchés clandestins.
Infrastructure de phishing multi-étapes et monétisation
L'opération AccountDumpling a employé une chaîne d'attaque sophistiquée en plusieurs étapes qui a commencé avec Google AppSheet servant de relais de phishing initial. Les attaquants ont créé des applications AppSheet légitimes en apparence qui généraient automatiquement et envoyaient des e-mails de phishing aux utilisateurs de Facebook ciblés. Ces e-mails contenaient des liens qui redirigeaient les victimes à travers plusieurs domaines intermédiaires avant d'atterrir sur des répliques convaincantes de connexion Facebook hébergées sur le réseau de distribution de contenu de Netlify.
Une fois que les victimes ont entré leurs identifiants sur les fausses pages de connexion, les informations volées ont été immédiatement validées contre les serveurs de Facebook pour confirmer l'accès au compte. Les comptes compromis avec succès ont ensuite été catalogués dans un système automatisé qui évaluait leur valeur en fonction de facteurs tels que le nombre de followers, la propriété de pages professionnelles, l'historique des dépenses publicitaires et les méthodes de paiement liées. Ce système de triage automatisé a permis aux attaquants d'identifier rapidement et de prioriser les comptes de grande valeur pour une vente immédiate.
La composante de monétisation de l'opération impliquait une vitrine illicite où les comptes Facebook compromis étaient vendus à d'autres cybercriminels. Les prix allaient de 10 $ pour les comptes personnels de base à plusieurs centaines de dollars pour les comptes professionnels avec des capacités publicitaires actives. La vitrine fonctionnait via des plateformes de messagerie cryptées et acceptait les paiements en cryptomonnaie pour maintenir l'anonymat opérationnel. Les chercheurs en sécurité ont documenté l'infrastructure complète de l'attaque s'étendant sur plusieurs plateformes légitimes abusées à des fins malveillantes.
Pour se protéger contre des attaques similaires, les utilisateurs de Facebook devraient activer l'authentification à deux facteurs sur leurs comptes et vérifier soigneusement l'authenticité des e-mails liés à la sécurité. Les organisations devraient mettre en œuvre des solutions de sécurité des e-mails capables de détecter l'abus de services cloud légitimes et éduquer les employés sur les techniques de phishing sophistiquées qui exploitent des plateformes de confiance. La découverte de cette campagne met en lumière le paysage des menaces en évolution où les attaquants abusent de plus en plus de l'infrastructure cloud légitime pour contourner les contrôles de sécurité traditionnels.
