Campaña «AccountDumpling»: 30.000 cuentas de Facebook comprometidas mediante phishing a través de Google AppSheet

Resumen de la incidencia

Una operación vinculada a Vietnam ha sido identificada utilizando Google AppSheet como un «relé de phishing» para distribuir correos maliciosos dirigidos a robar credenciales de cuentas de Facebook. La actividad, rastreada y bautizada como AccountDumpling por la empresa de seguridad Guardio, habría resultado en la sustracción de aproximadamente 30.000 cuentas de Facebook. Los actores vendrían las credenciales robadas en una tienda ilícita operada por el propio grupo.

Guardio denominó la operación «AccountDumpling» tras observar el uso de AppSheet como infraestructura de envío para campañas de phishing.

Cómo funciona el ataque: AppSheet como relé de phishing

AppSheet es una plataforma sin código propiedad de Google que permite crear aplicaciones web y móviles y, entre otras funciones, enviar correos electrónicos automatizados en nombre de la aplicación. Ese tipo de plataformas legítimas puede ser aprovechado por atacantes para dos objetivos clave en campañas de phishing:

• Evitar filtros y listas negras: los mensajes emitidos desde infraestructuras administradas por grandes proveedores suelen disfrutar de mayor reputación, lo que reduce la probabilidad de bloqueo por parte de filtros de correo.
• Aumentar la aparente legitimidad: los correos que provienen de dominios o servicios conocidos generan menor sospecha en destinatarios menos cautelosos.

En el caso reportado, los operadores habrían configurado aplicaciones AppSheet para enviar correos que contienen enlaces a páginas de phishing o para actuar como conducto de redirección entre las víctimas y los dominios de captura. El objetivo final fue la obtención de credenciales de Facebook y la consiguiente venta de esas cuentas en un mercado clandestino.

Contexto y antecedentes: por qué importa

Este incidente no es aislado en la categoría de abuso de plataformas en la nube y herramientas sin código. En años recientes, amenazas persistentes han abusado de servicios legítimos —Google Forms, sitios hospedados en plataformas públicas, servicios de almacenamiento en la nube y paneles sin código— para distribuir páginas de phishing y material malicioso. La ventaja para el atacante es doble: infraestructura barata y mayor probabilidad de eludir controles de seguridad perimetrales.

Además, la compraventa de cuentas comprometidas alimenta un mercado ilícito con impactos directos en privacidad, fraude y reputación. Para las empresas y los usuarios finales, las consecuencias incluyen suplantación de identidad, campañas de ingeniería social amplificadas desde cuentas legítimas y acceso a servicios vinculados a las cuentas comprometidas.

Informes de seguridad y análisis públicos, como los de grandes consultoras y los tradicionales estudios de incidentes, han señalado que el phishing continúa siendo una de las principales vías de entrada para compromisos de cuenta y robo de credenciales.

Análisis técnico y comentarios para practicantes

Para equipos de seguridad y operadores de dominios, la emergencia plantea puntos técnicos y operativos concretos:

• Detección basada en patrones de envío: monitorizar picos de envío de correos desde integraciones con AppSheet u otras plataformas sin código. Un aumento repentino en correos que incluyen enlaces de inicio de sesión o solicitudes de reautenticación es una señal de alarma.
• Analizar encabezados y flujo de redirecciones: aunque el remitente use infraestructura legítima, los encabezados y las cadenas de redirección pueden revelar destinos finales maliciosos. Los analistas deben instrumentar reglas que inspeccionen URLs de destino y patrones de redirect.
• Seguir indicadores de compromiso (IOCs): agregar dominios, URLs y direcciones IP asociadas a la campaña a sistemas de bloqueo internos y feeds compartidos con partners y proveedores.
• Reforzar la telemetría de sesión: controles de anomalía en sesiones (geolocalización, dispositivos nuevos, cambios rápidos de IP) ayudan a detectar accesos no autorizados una vez que las credenciales han sido capturadas.
• Preparar procedimientos de respuesta: planes para invalidar sesiones, forzar reseteo de contraseñas masivo y coordinar con el proveedor de la plataforma (en este caso Google) para la retirada de aplicaciones o usos abusivos del servicio.

Casos comparables y estadísticas relevantes

El uso de servicios en la nube y plataformas de productividad para alojamiento o distribución de phishing ha sido una tendencia creciente. Ejemplos repetidos incluyen campañas que abusaron de Google Forms, páginas estáticas alojadas en GitHub Pages o servicios de almacenamiento en la nube para hospedar landing pages fraudulentas. También se documentaron campañas que explotaron flujos OAuth y pantallas de consentimiento para obtener tokens de acceso.

Más ampliamente, estudios sectoriales han mostrado que el phishing sigue siendo una de las vías principales para el compromiso de cuentas. Informes de referencia en ciberseguridad insisten en que la ingeniería social y la captura de credenciales siguen siendo efectivas para los atacantes, especialmente contra usuarios que reutilizan credenciales o carecen de autenticación robusta.

Riesgos, implicaciones y recomendaciones prácticas

Riesgos e implicaciones:

• Escalada de abuso: cuentas de Facebook comprometidas pueden servir para campañas de desinformación, fraude o como vector para atacar contactos de las víctimas.
• Reputación y responsabilidad: empresas cuyos empleados usen cuentas comprometidas pueden enfrentar exposición de datos o acciones regulatorias si hay filtración de información sensible.
• Persistencia del atacante: los actores que venden cuentas en mercados ilícitos permiten que terceras partes participen en abuso, multiplicando el impacto.

Recomendaciones accionables:

• Habilitar MFA resistente al phishing: implantar métodos de autenticación de alto assurance (por ejemplo, claves FIDO2 / dispositivos de seguridad) en las cuentas críticas.
• Evitar la reutilización de contraseñas: forzar políticas de contraseñas únicas y promover el uso de gestores de contraseñas para reducir el riesgo de credenciales válidas en diferentes servicios.
• Implementar y reforzar SPF/DKIM/DMARC: aunque no detienen todo abuso, ayudan a reducir la suplantación de identidad desde dominios propios y facilitan la detección de envíos no autorizados.
• Monitorizar y alertar sobre flujo de contenidos: establecer firmas y reglas que detecten enlaces a dominios recién creados, patrones de redirect y uso anómalo de proveedores de aplicaciones sin código.
• Educar a usuarios: campañas de concienciación focalizadas en identificar solicitudes inusuales de inicio de sesión, correos con enlaces urgentes y verificación de URLs antes de introducir credenciales.
• Coordinar takedowns: en caso de detección, iniciar procesos con Google para cerrar Apps maliciosas y con registradores para retirar dominios que hospedan páginas de captura.

Conclusión

La campaña denominada AccountDumpling ilustra la evolución táctica de los atacantes: aprovechar servicios legítimos para elevar la eficacia del phishing y la probabilidad de elusión de controles. Aproximadamente 30.000 cuentas de Facebook comprometidas, según el reporte inicial, subrayan el impacto potencial de este tipo de abuso.

Para defensores y administradores, la prioridad es combinar controles técnicos (MFA resistente al phishing, monitorización de envíos y telemetría de sesiones) con procesos operativos (detección temprana, respuesta coordinada, notificación a proveedores). La amenaza no es exclusiva de una plataforma; por ello la estrategia debe ser transversal y orientada a reducir la superficie de ataque, mejorar la detección y minimizar el valor explotable de cada cuenta comprometida.

Source: thehackernews.com