Phishers Exploram Gerente de Contas de Empresas Meta
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um ator de ameaça não identificado está abusando do serviço legítimo Business Manager da Meta para enviar e-mails de phishing altamente convincentes. As mensagens usam um nome de empresa manipulado que contém um URL, incentivando os alvos a visitar sites de phishing ou interagir com chatbots do Facebook Messenger. A campanha foi projetada para roubar credenciais de contas Meta, códigos MFA e documentos de identidade.
Investigação
A Huntress analisou a cadeia de ataque após detectar um e-mail de phishing em um honeypot em junho de 2026. A investigação mostrou uma mudança dos métodos anteriores de redirecionamento do Google Sites para uma abordagem mais avançada usando chatbots do Facebook Messenger e páginas de phishing com iFrame. Os pesquisadores também rastrearam atividades de exfiltração por meio de domínios como api.goautolink.com e bots associados no Telegram.
Mitigação
A Meta introduziu controles técnicos que bloqueiam contas de empresas que tentam usar URLs em nomes de empresas. Os usuários devem permanecer cautelosos com solicitações inesperadas de parcerias empresariais e inspecionar cuidadosamente quaisquer destinos vinculados. Evitar links suspeitos em e-mails, mesmo quando o remetente parece legítimo, continua sendo uma linha de defesa chave.
Resposta
Quando solicitações suspeitas de parcerias empresariais são detectadas, os administradores devem confirmar sua legitimidade através dos canais oficiais da Meta. Se credenciais ou documentos de identidade forem expostos, ações de recuperação de conta e redefinição de MFA devem ser iniciadas imediatamente. As organizações também devem monitorar as contas do Meta Business Manager para qualquer acesso não autorizado ou mudanças.
Fluxo de Ataque
Detecções
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Visualizar
Arquivo com Extensão Suspeita Baixado de Domínio com TLD Incomum (via proxy)
Visualizar
Detecção de Domínios Usados em Ataques de Phishing da Meta [Google Cloud Platform]
Visualizar
Detectar E-mails de Isca de Phishing Usando o Serviço Business Manager [Google Cloud Platform]
Visualizar
Execução da Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque e Comandos: O adversário enviou um e-mail de phishing se fazendo passar por uma notificação do Meta Business Manager. Para automatizar o teste de seu link de phishing ou raspar informações de uma página de destino usando um script localizado, o atacante executa um script PowerShell. Este script contém os URLs maliciosos codificados:
sites.google.com/view/profile1012andaussiecleaningservices.com. Quando o script é executado, o mecanismo do PowerShell registra o conteúdo completo do bloco de script, que contém essas strings, acionando assim a regra de detecção. -
Script de Teste de Regressão:
# Script de simulação para acionar a regra de detecção incluindo os URLs maliciosos em um bloco de script. $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "Simulando processamento de link de phishing..." $testString = "Processando links: $maliciousUrl1 e $maliciousUrl2" Write-Output $testString -
Comandos de Limpeza:
# Nenhuma alteração permanente feita no sistema; nenhuma limpeza necessária. # Se os arquivos de transcrição foram criados, remova-os: # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue