Clicky

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Pirateadas 30.000 cuentas de Facebook mediante una campaña de phishing en Google AppSheet

Categoría: Seguridad
Read Time: 6 mins
Visitas: 305
Facebook Netlify

Denominada "AccountDumpling", la actividad consiste en la venta de las cuentas robadas a través de una plataforma ilícita

Se ha detectado una operación recientemente descubierta, vinculada a Vietnam, que utiliza una hoja de cálculo de Google AppSheet como "retransmisor de phishing" para distribuir correos electrónicos fraudulentos con el objetivo de comprometer cuentas de Facebook.

Guardio denominó a esta actividad "AccountDumpling" y consiste en la venta de las cuentas robadas a través de una plataforma ilícita gestionada por los ciberdelincuentes. Se estima que, en total, unas 30.000 cuentas de Facebook fueron pirateadas como parte de esta campaña.

"Lo que encontramos no fue un simple kit de phishing", escribió en un informe el investigador de seguridad Shaked Chen. "Se trataba de una operación en constante evolución, con paneles de control en tiempo real, sistemas avanzados de evasión, un ciclo criminal-comercial que se alimenta silenciosamente de las mismas cuentas que ayuda a recuperar2.

Estos hallazgos son solo el ejemplo más reciente de cómo los ciberdelincuentes vietnamitas siguen empleando diversas tácticas para obtener acceso no autorizado a las cuentas de Facebook de las víctimas, que luego se venden en mercados clandestinos para obtener beneficios económicos.

El punto de partida de los ataques más recientes es un correo electrónico de phishing dirigido a los propietarios de cuentas de Facebook Business, que se hace pasar por el soporte de Meta y les insta a presentar una apelación o arriesgarse a que su cuenta sea eliminada permanentemente. Los correos electrónicos se envían desde una dirección de Google AppSheet ("noreply[@]appsheet.com"), lo que les permite eludir los filtros de spam.

Esta falsa sensación de urgencia se utiliza para redirigir a los usuarios a una página web fraudulenta diseñada para robar sus credenciales. Cabe destacar que KnowBe4 informó sobre una campaña similar en mayo de 2025.

phishing desde AppSheet

En las últimas semanas, estas campañas han adoptado diversos tipos de señuelos diseñados para inducir un "pánico relacionado con Meta". Estos van desde la desactivación de cuentas y quejas por derechos de autor hasta la revisión de verificaciones, la contratación de ejecutivos y alertas de inicio de sesión de Facebook. Los cuatro grupos principales identificados por Guardio se enumeran a continuación:

• Las páginas del centro de ayuda de Facebook alojadas en Netlify permiten ataques de robo de cuentas, además de recopilar fechas de nacimiento, números de teléfono y fotos de documentos de identidad emitidos por el gobierno. Estos datos se envían finalmente a un canal de Telegram controlado por el atacante.

• Los señuelos de evaluación con distintivo azul guían a las víctimas a páginas de "Verificación de seguridad" o "Meta | Centro de privacidad" alojadas en Vercel, que están protegidas por una falsa verificación CAPTCHA antes de dirigir a los usuarios a la página de destino de phishing para recopilar detalles de contacto, información comercial, credenciales (después de un reintento forzado) y códigos de autenticación de dos factores (2FA) y extraerlos a un canal de Telegram.

• Archivos PDF alojados en Google Drive que simulan ser instrucciones para completar la verificación de la cuenta, con el fin de que los usuarios recopilen contraseñas, códigos de autenticación de dos factores (2FA), fotos de documentos de identidad oficiales y capturas de pantalla del navegador mediante html2canvas. Estos documentos PDF se generan utilizando una cuenta gratuita de Canva.

• Ofertas de trabajo falsas que suplantan la identidad de empresas como WhatsApp, Meta, Adobe, Pinterest, Apple y Coca-Cola para entablar una relación de confianza con los destinatarios y pedirles que se unan a una llamada o continúen la conversación en sitios controlados por el atacante.

En conjunto, se ha descubierto que los canales de Telegram asociados con los tres primeros grupos contienen alrededor de 30.000 registros de víctimas, la mayoría de las cuales se encuentran en Estados Unidos, Italia, Canadá, Filipinas, India, España, Australia, Reino Unido, Brasil y México, y han sido bloqueadas y no pueden acceder a sus propias cuentas.

En cuanto a quién está detrás de la operación, la prueba irrefutable proviene de los archivos PDF generados como parte del tercer grupo utilizando la cuenta gratuita de Canva, cuyos metadatos identifican al autor vietnamita "PHẠM TÀI TÂN". Además, la información obtenida de fuentes abiertas ha permitido descubrir un sitio web ("phamtaitan[.]vn") donde ofrecen servicios de marketing digital.

exfiltración en Telegram

En una publicación compartida en X en febrero de 2023, el perfil del sitio web indicaba que "se especializa en brindar servicios de marketing digital, recursos de marketing y consultoría sobre estrategias efectivas de marketing digital".

"En conjunto, conforman una imagen coherente de una megaoperación a gran escala con sede en Vietnam", afirmó Chen. "Esta campaña va más allá de un simple abuso de AppSheet. Es una ventana al mercado negro que rodea a los activos robados de Facebook, donde el acceso, la identidad comercial, la reputación publicitaria e incluso la recuperación de cuentas se han convertido en mercancías comercializables. Un nuevo ejemplo del patrón que seguimos observando: plataformas de confianza reconvertidas en capas de entrega, alojamiento y monetización".

#Facebook
#Cuenta
#Robo

Jesus_Caceres

Related Articles

Iconos de Redes Sociales, La Colección Definitiva

Categoría: Internet (Tutoriales y trucos)
Read Time: 10 mins
Visitas: 80291

Iconos de Google Buzz, redes sociales y más Gratis

Categoría: Internet (Tutoriales y trucos)
Read Time: 2 mins
Visitas: 17445

Main Menu