Les Phishers Exploitent le Gestionnaire de Compte d’Entreprise de Meta
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un acteur menaçant non identifié exploite le service légitime Business Manager de Meta pour envoyer des e-mails de phishing très convaincants. Les messages utilisent un nom d’entreprise manipulé contenant une URL, encourageant les cibles à visiter des sites de phishing ou à interagir avec des chatbots Messenger de Facebook. La campagne est conçue pour voler les identifiants de compte Meta, les codes MFA et les documents d’identité.
Enquête
Huntress a analysé la chaîne d’attaque après avoir détecté un e-mail de phishing dans un honeypot en juin 2026. L’enquête a montré une transition des méthodes de redirection Google Sites précédentes vers une approche plus avancée utilisant des chatbots Messenger de Facebook et des pages de phishing en iFrame. Les chercheurs ont également suivi l’activité d’exfiltration via des domaines comme api.goautolink.com et des bots Telegram associés.
Atténuation
Meta a introduit des contrôles techniques qui verrouillent les comptes professionnels tentant d’utiliser des URL dans les noms d’entreprise. Les utilisateurs doivent rester prudents face aux demandes inattendues de partenariat commercial et inspecter soigneusement toutes les destinations liées. Éviter les liens suspects dans les e-mails, même lorsque l’expéditeur semble légitime, reste une ligne de défense clé.
Réponse
Lorsque des demandes de partenariat commercial suspectes sont détectées, les administrateurs doivent confirmer leur légitimité via les canaux officiels de Meta. Si des identifiants ou des documents d’identité sont exposés, les actions de récupération de compte et de réinitialisation MFA doivent être initiées immédiatement. Les organisations doivent également surveiller les comptes Meta Business Manager pour tout accès ou modification non autorisé.
Flux d’Attaque
Détections
Commande et contrôle suspects par demande DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
Fichier avec extension suspecte téléchargé depuis un domaine avec TLD inhabituel (via proxy)
Voir
Détection de domaines utilisés dans les attaques de phishing Meta [Google Cloud Platform]
Voir
Détecter les e-mails d’hameçonnage utilisant le service Business Manager [Google Cloud Platform]
Voir
Exécution de simulation
Prérequis : La vérification préalable de la télémétrie et de la base de référence doit avoir été réussie.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des diagnostics erronés.
-
Récit d’attaque et commandes : L’adversaire a envoyé un e-mail de phishing se faisant passer pour une notification Meta Business Manager. Pour automatiser le test de leur lien de phishing ou pour récupérer des informations d’une page de destination à l’aide d’un script localisé, l’attaquant exécute un script PowerShell. Ce script contient les URL malveillantes codées en dur :
sites.google.com/view/profile1012andaussiecleaningservices.com. Lorsque le script s’exécute, le moteur PowerShell journalise le contenu complet du bloc de script, qui contient ces chaînes, déclenchant ainsi la règle de détection. -
Script de test de régression :
# Script de simulation pour déclencher la règle de détection en incluant les URL malveillantes dans un bloc de script. $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "Simulation du traitement des liens de phishing..." $testString = "Traitement des liens : $maliciousUrl1 et $maliciousUrl2" Write-Output $testString -
Commandes de nettoyage :
# Aucune modification permanente apportée au système ; aucun nettoyage requis. # Si des fichiers de transcription ont été créés, retirez-les : # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue