Phisher sfruttano Meta Business Account Manager
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un attore di minaccia non identificato sta abusando del legittimo servizio Business Manager di Meta per inviare email di phishing altamente convincenti. I messaggi utilizzano un nome aziendale manipolato che contiene un URL, incoraggiando i destinatari a visitare siti di phishing o interagire con chatbot di Facebook Messenger. La campagna è progettata per rubare credenziali dell’account Meta, codici MFA e documenti di identità.
Indagine
Huntress ha analizzato la catena d’attacco dopo aver rilevato un’email di phishing in una honeypot a giugno 2026. L’indagine ha mostrato una transizione dai precedenti metodi di reindirizzamento di Google Sites a un approccio più avanzato che utilizza chatbot di Facebook Messenger e pagine di phishing iFramed. I ricercatori hanno anche tracciato l’attività di esfiltrazione attraverso domini come api.goautolink.com e bot di Telegram associati.
Mitigazione
Meta ha introdotto controlli tecnici che bloccano gli account aziendali che tentano di usare URL nei nomi aziendali. Gli utenti dovrebbero rimanere cauti di fronte a richieste inaspettate di partnership aziendali e ispezionare attentamente qualsiasi destinazione collegata. Evitare link sospetti nelle email, anche quando il mittente sembra legittimo, rimane una linea di difesa fondamentale.
Risposta
Quando vengono rilevate richieste di partnership aziendali sospette, gli amministratori dovrebbero confermare la loro legittimità attraverso i canali ufficiali di Meta. Se credenziali o documenti di identità vengono esposti, devono essere avviati immediatamente azioni di recupero dell’account e reset dei codici MFA. Le organizzazioni dovrebbero anche monitorare gli account di Meta Business Manager per eventuali accessi o modifiche non autorizzati.
Flusso di attacco
Rilevamenti
Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Livello Superiore (TLD) Inusuale (via dns)
Visualizza
File con Estensione Sospetta Scaricato da Dominio con TLD Insolito (via proxy)
Visualizza
Rilevazione di Domini Utilizzati negli Attacchi di Phishing su Meta [Google Cloud Platform]
Visualizza
Rileva Email di Phishing con esca Usando i Servizi Business Manager [Google Cloud Platform]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione & Comandi dell’Attacco: L’avversario ha inviato un’email di phishing che si spaccia per una notifica di Meta Business Manager. Per automatizzare il test del loro link di phishing o per estrarre informazioni da una landing page usando uno script localizzato, l’attaccante esegue uno script PowerShell. Questo script contiene gli URL malevoli hardcoded:
sites.google.com/view/profile1012andaussiecleaningservices.com. Quando lo script viene eseguito, il motore PowerShell registra l’intero contenuto del blocco di script, che contiene queste stringhe, attivando quindi la regola di rilevamento. -
Script di Test di Regressione:
# Script di simulazione per attivare la regola di rilevamento includendo gli URL malevoli in un blocco di script. $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "Simulazione del processamento del link di phishing..." $testString = "Elaborazione dei link: $maliciousUrl1 e $maliciousUrl2" Write-Output $testString -
Comandi di Pulizia:
# Nessuna modifica permanente al sistema; nessuna pulizia richiesta. # Se sono stati creati file di trascrizione, rimuoverli: # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue