Los Phishers Explotan el Administrador de Cuentas Comerciales de Meta
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenazas no identificado está abusando del servicio legítimo de Business Manager de Meta para enviar correos electrónicos de phishing muy convincentes. Los mensajes utilizan un nombre de empresa manipulado que contiene una URL, alentando a los objetivos a visitar sitios de phishing o interactuar con chatbots de Facebook Messenger. La campaña está diseñada para robar credenciales de cuentas de Meta, códigos MFA y documentos de identidad.
Investigación
Huntress analizó la cadena de ataque tras detectar un correo electrónico de phishing en un honeypot en junio de 2026. La investigación mostró un cambio de los métodos anteriores de redirección de Google Sites a un enfoque más avanzado utilizando chatbots de Facebook Messenger y páginas de phishing en iFrame. Los investigadores también rastrearon la actividad de exfiltración a través de dominios como api.goautolink.com y bots asociados de Telegram.
Mitigación
Meta ha introducido controles técnicos que bloquean las cuentas de negocios que intentan usar URLs en los nombres de empresas. Los usuarios deben mantenerse cautelosos ante solicitudes inesperadas de asociación comercial y examinar cuidadosamente cualquier destino vinculado. Evitar enlaces sospechosos en correos electrónicos, incluso cuando el remitente parece legítimo, sigue siendo una línea clave de defensa.
Respuesta
Cuando se detectan solicitudes sospechosas de asociación comercial, los administradores deben confirmar su legitimidad a través de los canales oficiales de Meta. Si las credenciales o documentos de identidad están expuestos, se deben iniciar acciones de recuperación de cuenta y restablecimiento de MFA de inmediato. Las organizaciones también deben monitorear las cuentas de Meta Business Manager para detectar cualquier acceso no autorizado o cambios.
Flujo de Ataque
Detecciones
Comando y Control sospechoso mediante solicitudes DNS de dominio de nivel superior (TLD) inusual (a través de dns)
Ver
Archivo con extensión sospechosa descargado de dominio con TLD poco común (a través de proxy)
Ver
Detección de dominios utilizados en ataques de phishing de Meta [Google Cloud Platform]
Ver
Detectar correos electrónicos señuelo de phishing utilizando el servicio Business Manager [Google Cloud Platform]
Ver
Ejecución de Simulación
Prerequisito: El chequeo preliminar de Telemetría y Línea Base debe haber aprobado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario ha enviado un correo electrónico de phishing haciéndose pasar por una notificación de Meta Business Manager. Para automatizar la prueba de su enlace de phishing o para extraer información de una página de destino utilizando un script localizado, el atacante ejecuta un script de PowerShell. Este script contiene las URLs maliciosas codificadas:
sites.google.com/view/profile1012andaussiecleaningservices.com. Cuando el script se ejecuta, el motor de PowerShell registra el contenido completo del bloque del script, que contiene estas cadenas, activando así la regla de detección. -
Script de Prueba de Regresión:
# Script de simulación para activar la regla de detección incluyendo las URLs maliciosas en un bloque de script. $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "Simulando el procesamiento de enlaces de phishing..." $testString = "Procesando enlaces: $maliciousUrl1 y $maliciousUrl2" Write-Output $testString -
Comandos de Limpieza:
# No se realizaron cambios permanentes en el sistema; no se requiere limpieza. # Si se crearon archivos de transcripción, elimínelos: # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue