Phisher nutzen Meta Business Account Manager aus
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein unbekannter Bedrohungsakteur missbraucht den legitimen Business Manager-Dienst von Meta, um hoch überzeugende Phishing-E-Mails zu versenden. Die Nachrichten verwenden einen manipulierten Firmennamen, der eine URL enthält, und ermutigen die Zielpersonen, Phishing-Websites zu besuchen oder mit Facebook Messenger-Chatbots zu interagieren. Die Kampagne zielt darauf ab, Meta-Kontozugangsdaten, MFA-Codes und Identitätsdokumente zu stehlen.
Untersuchung
Huntress analysierte die Angriffskette, nachdem im Juni 2026 eine Phishing-E-Mail in einem Honeypot entdeckt wurde. Die Untersuchung zeigte einen Wechsel von den früher verwendeten Google Sites-Umleitungsmethoden zu einem fortgeschritteneren Ansatz mit Facebook Messenger-Chatbots und iFramed Phishing-Seiten. Forscher verfolgten auch die Exfiltrationsaktivitäten über Domains wie api.goautolink.com und zugehörige Telegram-Bots.
Minderungsmaßnahmen
Meta hat technische Kontrollen eingeführt, die Geschäftskonten sperren, die versuchen, URLs in Firmennamen zu verwenden. Benutzer sollten bei unerwarteten Anfragen zur Geschäftspartnerschaft vorsichtig sein und alle verlinkten Ziele genau prüfen. Das Vermeiden verdächtiger Links in E-Mails, selbst wenn der Absender legitim erscheint, bleibt eine wichtige Verteidigungslinie.
Reaktion
Wenn verdächtige Anfragen zur Geschäftspartnerschaft erkannt werden, sollten Administratoren ihre Legitimität über offizielle Meta-Kanäle bestätigen. Falls Zugangsdaten oder Identitätsdokumente offengelegt werden, sollten sofort Kontowiederherstellungen und MFA-Reset-Aktionen eingeleitet werden. Organisationen sollten auch Meta Business Manager-Konten auf unbefugten Zugriff oder Änderungen überwachen.
Angriffsfluss
Erkennungen
Verdächtiger Command-and-Control durchs ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (über DNS)
Ansehen
Datei mit verdächtiger Erweiterung heruntergeladen von einer Domain mit ungewöhnlicher TLD (über Proxy)
Ansehen
Erkennung von Domains, die bei Meta-Phishing-Angriffen verwendet werden [Google Cloud Platform]
Ansehen
Erkennung von Phishing-Lock-E-Mails, die den Business Manager-Dienst verwenden [Google Cloud Platform]
Ansehen
Simulationsexecution
Voraussetzung: Der Telemetrie- und Baseline-Vorflugcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entworfen wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die durch die Erkennungssysteme erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat eine Phishing-E-Mail gesendet, die als Meta Business Manager-Benachrichtigung getarnt ist. Um die Prüfung ihres Phishing-Links zu automatisieren oder Informationen von einer Zielseite mit einem lokalisierten Skript zu scrapen, führt der Angreifer ein PowerShell-Skript aus. Dieses Skript enthält die fest codierten bösartigen URLs:
sites.google.com/view/profile1012andaussiecleaningservices.com. Wenn das Skript ausgeführt wird, protokolliert die PowerShell-Engine den vollständigen Inhalt des Skriptblocks, der diese Zeichenfolgen enthält, wodurch die Erkennungsregel ausgelöst wird. -
Regressionstest-Skript:
# Simulationsskript, um die Erkennungsregel durch das Einfügen der bösartigen URLs in einen Skriptblock auszulösen. $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "Simulierung der Phishing-Link-Verarbeitung..." $testString = "Links verarbeiten: $maliciousUrl1 und $maliciousUrl2" Write-Output $testString -
Aufräumbefehle:
# Keine dauerhaften Änderungen am System vorgenommen; keine Bereinigung erforderlich. # Wenn Transkriptionsdateien erstellt wurden, entfernen Sie diese: # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue