SOC Prime Bias: Hoch

10 Jul 2026 18:34 UTC

Phisher nutzen Meta Business Account Manager aus

Author Photo
SOC Prime Team linkedin icon Folgen
Phisher nutzen Meta Business Account Manager aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein unbekannter Bedrohungsakteur missbraucht den legitimen Business Manager-Dienst von Meta, um hoch überzeugende Phishing-E-Mails zu versenden. Die Nachrichten verwenden einen manipulierten Firmennamen, der eine URL enthält, und ermutigen die Zielpersonen, Phishing-Websites zu besuchen oder mit Facebook Messenger-Chatbots zu interagieren. Die Kampagne zielt darauf ab, Meta-Kontozugangsdaten, MFA-Codes und Identitätsdokumente zu stehlen.

Untersuchung

Huntress analysierte die Angriffskette, nachdem im Juni 2026 eine Phishing-E-Mail in einem Honeypot entdeckt wurde. Die Untersuchung zeigte einen Wechsel von den früher verwendeten Google Sites-Umleitungsmethoden zu einem fortgeschritteneren Ansatz mit Facebook Messenger-Chatbots und iFramed Phishing-Seiten. Forscher verfolgten auch die Exfiltrationsaktivitäten über Domains wie api.goautolink.com und zugehörige Telegram-Bots.

Minderungsmaßnahmen

Meta hat technische Kontrollen eingeführt, die Geschäftskonten sperren, die versuchen, URLs in Firmennamen zu verwenden. Benutzer sollten bei unerwarteten Anfragen zur Geschäftspartnerschaft vorsichtig sein und alle verlinkten Ziele genau prüfen. Das Vermeiden verdächtiger Links in E-Mails, selbst wenn der Absender legitim erscheint, bleibt eine wichtige Verteidigungslinie.

Reaktion

Wenn verdächtige Anfragen zur Geschäftspartnerschaft erkannt werden, sollten Administratoren ihre Legitimität über offizielle Meta-Kanäle bestätigen. Falls Zugangsdaten oder Identitätsdokumente offengelegt werden, sollten sofort Kontowiederherstellungen und MFA-Reset-Aktionen eingeleitet werden. Organisationen sollten auch Meta Business Manager-Konten auf unbefugten Zugriff oder Änderungen überwachen.

Angriffsfluss

Simulationsexecution

Voraussetzung: Der Telemetrie- und Baseline-Vorflugcheck muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entworfen wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die durch die Erkennungssysteme erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer hat eine Phishing-E-Mail gesendet, die als Meta Business Manager-Benachrichtigung getarnt ist. Um die Prüfung ihres Phishing-Links zu automatisieren oder Informationen von einer Zielseite mit einem lokalisierten Skript zu scrapen, führt der Angreifer ein PowerShell-Skript aus. Dieses Skript enthält die fest codierten bösartigen URLs: sites.google.com/view/profile1012 and aussiecleaningservices.com. Wenn das Skript ausgeführt wird, protokolliert die PowerShell-Engine den vollständigen Inhalt des Skriptblocks, der diese Zeichenfolgen enthält, wodurch die Erkennungsregel ausgelöst wird.

  • Regressionstest-Skript:

    # Simulationsskript, um die Erkennungsregel durch das Einfügen der bösartigen URLs in einen Skriptblock auszulösen.
    $maliciousUrl1 = "https://sites.google.com/view/profile1012"
    $maliciousUrl2 = "http://aussiecleaningservices.com/login"
    
    Write-Host "Simulierung der Phishing-Link-Verarbeitung..."
    $testString = "Links verarbeiten: $maliciousUrl1 und $maliciousUrl2"
    Write-Output $testString
  • Aufräumbefehle:

    # Keine dauerhaften Änderungen am System vorgenommen; keine Bereinigung erforderlich.
    # Wenn Transkriptionsdateien erstellt wurden, entfernen Sie diese:
    # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue