Operação ligada ao Vietnã abusou de AppSheet, Netlify, Vercel, Google Drive, Canva e Telegram para coletar credenciais, códigos de autenticação e documentos de usuários do Facebook Business.
| Componente | Contas do Facebook e Facebook Business abordadas por e-mails enviados via Google AppSheet, páginas em Netlify e Vercel, PDFs no Google Drive e exfiltração para Telegram. |
| Vetor | Phishing com falsa notificação de suporte da Meta, enviado de noreply@appsheet.com, induzindo o usuário a recorrer de uma suposta exclusão permanente da conta. |
| Impacto | Cerca de 30 mil registros de vítimas foram associados a canais de Telegram da operação, incluindo credenciais, códigos 2FA, dados de contato, informações de negócio e imagens de documentos. |
| Prioridade | Revisar acessos de contas de negócio, invalidar sessões suspeitas, redefinir senhas, reconfigurar autenticação multifator, auditar administradores e bloquear fluxos de phishing baseados em plataformas confiáveis. |
| Artefatos | noreply@appsheet.com, páginas de falso centro de ajuda, páginas Security Check e Meta | Privacy Center, PDFs hospedados no Google Drive, uso de html2canvas, canais de Telegram e domínio phamtaitan[.]vn. |
| Atribuição | A campanha apresenta indícios de operação vietnamita, incluindo metadados de PDFs gerados em conta gratuita do Canva com o autor PHẠM TÀI TÂN; a atribuição deve ser tratada como indício técnico, não como conclusão isolada. |
Uma operação de phishing voltada a contas do Facebook, com foco em proprietários e operadores de Facebook Business, usou o Google AppSheet como camada de retransmissão para entrega de e-mails fraudulentos. A mensagem simulava uma comunicação de suporte da Meta e pressionava o destinatário a apresentar um recurso contra uma suposta exclusão permanente da conta. O uso do remetente noreply@appsheet.com aumentava a probabilidade de passagem por filtros de reputação, porque a infraestrutura de envio pertencia a um serviço legítimo do Google, enquanto o conteúdo direcionava o usuário a páginas controladas pelos operadores.
A operação, chamada AccountDumpling, não se limitava a um kit estático de captura de senhas. O fluxo descrito combina painéis de operação, variações de iscas, hospedagem em plataformas confiáveis e encaminhamento de dados para canais de Telegram. Os registros associados aos três primeiros agrupamentos da campanha somavam aproximadamente 30 mil vítimas, com presença nos Estados Unidos, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México. A consequência direta para as vítimas era a perda de acesso às próprias contas, inclusive contas com valor comercial por histórico publicitário, reputação, páginas administradas e vínculo com identidades de negócio.
O valor criminal não estava apenas na senha. A cadeia coletava códigos de autenticação multifator, datas de nascimento, telefones, informações empresariais, fotos de documentos emitidos por governo e, em um dos fluxos, capturas de tela do navegador. Esses dados permitem tomada de conta, tentativa de recuperação posterior, revenda de acesso, fraude contra contas de anúncio e reutilização de identidade em novos golpes. A campanha também mostra um padrão recorrente: serviços legítimos de nuvem, produtividade e hospedagem são usados como camadas de entrega, confiança, coleta e monetização.
O primeiro estágio era um e-mail de phishing direcionado a usuários que administram ativos comerciais no Facebook. A mensagem explorava urgência operacional, afirmando que a conta poderia ser removida permanentemente se o destinatário não submetesse um recurso. Esse tipo de isca é eficaz contra operadores de páginas e contas de anúncio porque a perda do ativo impacta campanhas, faturamento e acesso administrativo. O remetente ligado ao Google AppSheet funcionava como uma ponte de reputação: a infraestrutura legítima reduzia a fricção de entrega, enquanto o destino final permanecia sob controle dos atacantes.
Após o clique, o usuário era conduzido a uma página falsa desenhada para simular fluxos de ajuda, verificação ou privacidade da Meta. Em um dos agrupamentos, páginas hospedadas na Netlify imitavam um centro de ajuda do Facebook e coletavam informações suficientes para tomada de conta, incluindo data de nascimento, telefone e foto de documento oficial. Em outro, iscas de avaliação de selo azul levavam a páginas hospedadas na Vercel com nomes como Security Check ou Meta | Privacy Center. Antes da coleta, havia uma verificação CAPTCHA falsa, usada para criar aparência de legitimidade e possivelmente reduzir automação de análise.
A captura de credenciais seguia um fluxo de reforço: o usuário informava dados de contato, informações de negócio e senha; em seguida, era forçado a tentar novamente, aumentando a chance de capturar credenciais válidas mesmo quando a primeira digitação estivesse incorreta. Quando a conta exigia autenticação multifator, o phishing solicitava códigos 2FA e os encaminhava para canais de Telegram controlados pelos operadores. Esse desenho favorece uso quase em tempo real, pois códigos temporários perdem validade rapidamente e precisam ser consumidos durante a janela ativa da sessão.
Um terceiro fluxo usava PDFs no Google Drive que fingiam conter instruções para concluir verificação de conta. Os documentos eram gerados por uma conta gratuita do Canva e direcionavam a páginas que pediam senhas, códigos 2FA, imagens de documentos oficiais e capturas de tela. O uso de html2canvas indica tentativa de transformar o estado visual do navegador em imagem para exfiltração, o que pode revelar sessões, interfaces autenticadas, mensagens de erro, nomes de contas, páginas administradas ou outros detalhes úteis para tomada de decisão pelo operador. Também foram observadas iscas de falsas vagas de emprego impersonando marcas conhecidas, incluindo WhatsApp, Meta, Adobe, Pinterest, Apple e Coca-Cola, para construir confiança antes de mover a conversa para sites controlados pelos atacantes.
A superfície primária é composta por contas pessoais que administram páginas, contas de anúncio e ativos de negócio no Facebook. Em ambientes corporativos, isso inclui social media, marketing, agências, times de growth, atendimento, gestores de mídia paga e prestadores externos com permissão administrativa. O risco aumenta quando a conta pessoal concentra privilégios elevados, autenticação multifator baseada apenas em código temporário, sessões persistentes em navegadores compartilhados ou ausência de revisão periódica de administradores e parceiros no Business Manager.
A campanha também expõe uma superfície de detecção distribuída. O e-mail pode parecer legítimo por usar domínio de serviço conhecido; a página de coleta pode estar em Netlify ou Vercel; o material de instrução pode estar no Google Drive; a arte ou o PDF pode carregar metadados do Canva; e a exfiltração pode ocorrer por Telegram. Bloquear apenas domínios recém-criados não cobre esse modelo. Operadores defensivos precisam correlacionar remetente, texto de urgência, destino, comportamento de formulário, solicitações de 2FA, coleta de documentos e tráfego para APIs ou endpoints associados a Telegram.
- Usuários com função administrativa em páginas, contas de anúncio e ativos do Facebook Business.
- Contas com histórico publicitário, reputação comercial, método de pagamento vinculado ou acesso a públicos e campanhas.
- Fluxos de e-mail que usam
noreply@appsheet.compara mensagens não solicitadas sobre bloqueio, recurso, verificação ou exclusão de conta. - Páginas de verificação hospedadas em Netlify, Vercel ou Google Drive que solicitam senha, código
2FA, documento oficial ou captura de tela. - Conversas iniciadas por falsas oportunidades de emprego que movem o usuário para chamadas ou sites externos controlados pelo atacante.
A investigação deve começar por caixas de e-mail de usuários que administram ativos de mídia social e publicidade. Pesquisas por noreply@appsheet.com devem ser combinadas com termos de pressão operacional, como exclusão, recurso, suporte, violação, verificação, privacidade, segurança e selo azul. A presença do remetente por si só não confirma comprometimento, porque AppSheet é legítimo; o sinal forte aparece quando o e-mail contém link externo, solicitação de ação urgente relacionada à Meta ou redirecionamento para hospedagens genéricas que não pertencem aos domínios oficiais esperados.
No endpoint e no proxy, a telemetria deve procurar sequências de navegação que saem do e-mail e passam por Netlify, Vercel, Google Drive ou páginas com aparência de centro de ajuda antes de submissões de formulário. Uma janela curta entre clique, envio de credencial, tentativa repetida de senha e acesso ao Facebook a partir de novo endereço IP pode indicar captura e uso do código 2FA. Em contas já comprometidas, sinais úteis incluem encerramento inesperado de sessão, alteração de e-mail ou telefone, inclusão de administradores desconhecidos, criação ou modificação de campanhas, mudança de permissões e mensagens de recuperação recebidas pelo usuário legítimo.
Para threat intelligence, a infraestrutura deve ser tratada por agrupamento e não por indicador isolado. URLs em plataformas legítimas podem ser removidas e recriadas rapidamente; canais de Telegram podem receber dados de múltiplas páginas; PDFs e iscas podem mudar de marca. O vínculo vietnamita aparece em metadados e presença pública associada ao nome PHẠM TÀI TÂN e ao domínio phamtaitan[.]vn, mas esse tipo de dado deve ser usado como pivô investigativo. A defesa prática depende mais de reconhecer o fluxo de coleta e exfiltração do que de depender de uma atribuição nominal.
- E-mails de
noreply@appsheet.comcom tema de Meta, Facebook Business, suporte, exclusão permanente, recurso ou verificação. - Cliques para páginas em Netlify, Vercel ou Google Drive seguidos por submissão de credenciais ou envio de documentos.
- Solicitação de código
2FAfora do fluxo oficial de login e repetição forçada de senha em página de verificação. - Tráfego de navegador para páginas que executam captura visual por biblioteca como
html2canvasantes de upload ou envio de dados. - Eventos de conta: novo login geograficamente incomum, troca de senha, perda de sessão, alteração de telefone, alteração de e-mail ou adição de administrador desconhecido.
A resposta deve priorizar contas com privilégio sobre ativos comerciais. Usuários que receberam a isca ou interagiram com páginas suspeitas devem ter sessões encerradas, senha redefinida por canal oficial e autenticação multifator reconfigurada. Quando possível, a organização deve preferir métodos resistentes a phishing, como chaves de segurança ou autenticação vinculada a domínio e dispositivo, em vez de códigos temporários digitados em páginas web. Também é necessário revisar administradores, parceiros, métodos de pagamento, campanhas ativas e permissões concedidas no ambiente de negócio.
No controle preventivo, gateways de e-mail e ferramentas de navegação segura devem tratar serviços confiáveis como superfícies abusáveis, não como permissão automática. Regras eficazes combinam remetente, assunto, linguagem de urgência, destino, encurtadores, hospedagem genérica, coleta de 2FA e pedidos de documento. Para times de marketing e agências, o procedimento operacional deve deixar claro que recursos, verificações e disputas de conta precisam ser iniciados manualmente por canais oficiais, nunca por links recebidos em mensagens não solicitadas. Essa orientação deve ser acompanhada por revisão técnica de permissões, porque treinamento isolado não remove sessões, tokens ou administradores já adicionados.
Após contenção, a validação deve confirmar que a conta recuperada não manteve persistência indireta. Isso inclui verificar e-mails e telefones de recuperação, dispositivos lembrados, integrações, aplicativos conectados, usuários adicionados a páginas, papéis no Business Manager e alterações recentes em campanhas. Se documentos oficiais foram enviados, a vítima deve tratar o evento como exposição de identidade, com registro interno, alerta a áreas antifraude quando aplicável e monitoramento de tentativas de reutilização dos dados. Em empresas, o incidente deve entrar no processo de DFIR como comprometimento de identidade externa com impacto potencial em reputação, gastos publicitários e canais oficiais de comunicação.
- Encerrar sessões ativas do Facebook e redefinir senha somente por acesso manual ao domínio oficial.
- Reconfigurar autenticação multifator e, quando disponível, adotar chave de segurança resistente a phishing.
- Auditar administradores, parceiros, contas de anúncio, métodos de pagamento, campanhas e aplicativos conectados.
- Criar detecções para e-mails do
Google AppSheetque mencionem Meta ou Facebook e contenham links de ação urgente. - Bloquear ou isolar páginas que solicitem senha, código
2FA, documento oficial ou captura de tela fora do fluxo oficial.
0 Comentários