SOC Prime Bias: Alto

10 Jul 2026 18:34 UTC

Los Phishers Explotan el Administrador de Cuentas Comerciales de Meta

Author Photo
SOC Prime Team linkedin icon Seguir
Los Phishers Explotan el Administrador de Cuentas Comerciales de Meta
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un actor de amenazas no identificado está abusando del servicio legítimo de Business Manager de Meta para enviar correos electrónicos de phishing muy convincentes. Los mensajes utilizan un nombre de empresa manipulado que contiene una URL, alentando a los objetivos a visitar sitios de phishing o interactuar con chatbots de Facebook Messenger. La campaña está diseñada para robar credenciales de cuentas de Meta, códigos MFA y documentos de identidad.

Investigación

Huntress analizó la cadena de ataque tras detectar un correo electrónico de phishing en un honeypot en junio de 2026. La investigación mostró un cambio de los métodos anteriores de redirección de Google Sites a un enfoque más avanzado utilizando chatbots de Facebook Messenger y páginas de phishing en iFrame. Los investigadores también rastrearon la actividad de exfiltración a través de dominios como api.goautolink.com y bots asociados de Telegram.

Mitigación

Meta ha introducido controles técnicos que bloquean las cuentas de negocios que intentan usar URLs en los nombres de empresas. Los usuarios deben mantenerse cautelosos ante solicitudes inesperadas de asociación comercial y examinar cuidadosamente cualquier destino vinculado. Evitar enlaces sospechosos en correos electrónicos, incluso cuando el remitente parece legítimo, sigue siendo una línea clave de defensa.

Respuesta

Cuando se detectan solicitudes sospechosas de asociación comercial, los administradores deben confirmar su legitimidad a través de los canales oficiales de Meta. Si las credenciales o documentos de identidad están expuestos, se deben iniciar acciones de recuperación de cuenta y restablecimiento de MFA de inmediato. Las organizaciones también deben monitorear las cuentas de Meta Business Manager para detectar cualquier acceso no autorizado o cambios.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El chequeo preliminar de Telemetría y Línea Base debe haber aprobado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario ha enviado un correo electrónico de phishing haciéndose pasar por una notificación de Meta Business Manager. Para automatizar la prueba de su enlace de phishing o para extraer información de una página de destino utilizando un script localizado, el atacante ejecuta un script de PowerShell. Este script contiene las URLs maliciosas codificadas: sites.google.com/view/profile1012 and aussiecleaningservices.com. Cuando el script se ejecuta, el motor de PowerShell registra el contenido completo del bloque del script, que contiene estas cadenas, activando así la regla de detección.

  • Script de Prueba de Regresión:

    # Script de simulación para activar la regla de detección incluyendo las URLs maliciosas en un bloque de script.
    $maliciousUrl1 = "https://sites.google.com/view/profile1012"
    $maliciousUrl2 = "http://aussiecleaningservices.com/login"
    
    Write-Host "Simulando el procesamiento de enlaces de phishing..."
    $testString = "Procesando enlaces: $maliciousUrl1 y $maliciousUrl2"
    Write-Output $testString
  • Comandos de Limpieza:

    # No se realizaron cambios permanentes en el sistema; no se requiere limpieza.
    # Si se crearon archivos de transcripción, elimínelos:
    # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue