SOC Prime Bias: Alto

10 Jul 2026 18:34 UTC

Phishers Exploram Gerente de Contas de Empresas Meta

Author Photo
SOC Prime Team linkedin icon Seguir
Phishers Exploram Gerente de Contas de Empresas Meta
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um ator de ameaça não identificado está abusando do serviço legítimo Business Manager da Meta para enviar e-mails de phishing altamente convincentes. As mensagens usam um nome de empresa manipulado que contém um URL, incentivando os alvos a visitar sites de phishing ou interagir com chatbots do Facebook Messenger. A campanha foi projetada para roubar credenciais de contas Meta, códigos MFA e documentos de identidade.

Investigação

A Huntress analisou a cadeia de ataque após detectar um e-mail de phishing em um honeypot em junho de 2026. A investigação mostrou uma mudança dos métodos anteriores de redirecionamento do Google Sites para uma abordagem mais avançada usando chatbots do Facebook Messenger e páginas de phishing com iFrame. Os pesquisadores também rastrearam atividades de exfiltração por meio de domínios como api.goautolink.com e bots associados no Telegram.

Mitigação

A Meta introduziu controles técnicos que bloqueiam contas de empresas que tentam usar URLs em nomes de empresas. Os usuários devem permanecer cautelosos com solicitações inesperadas de parcerias empresariais e inspecionar cuidadosamente quaisquer destinos vinculados. Evitar links suspeitos em e-mails, mesmo quando o remetente parece legítimo, continua sendo uma linha de defesa chave.

Resposta

Quando solicitações suspeitas de parcerias empresariais são detectadas, os administradores devem confirmar sua legitimidade através dos canais oficiais da Meta. Se credenciais ou documentos de identidade forem expostos, ações de recuperação de conta e redefinição de MFA devem ser iniciadas imediatamente. As organizações também devem monitorar as contas do Meta Business Manager para qualquer acesso não autorizado ou mudanças.

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque e Comandos: O adversário enviou um e-mail de phishing se fazendo passar por uma notificação do Meta Business Manager. Para automatizar o teste de seu link de phishing ou raspar informações de uma página de destino usando um script localizado, o atacante executa um script PowerShell. Este script contém os URLs maliciosos codificados: sites.google.com/view/profile1012 and aussiecleaningservices.com. Quando o script é executado, o mecanismo do PowerShell registra o conteúdo completo do bloco de script, que contém essas strings, acionando assim a regra de detecção.

  • Script de Teste de Regressão:

    # Script de simulação para acionar a regra de detecção incluindo os URLs maliciosos em um bloco de script.
    $maliciousUrl1 = "https://sites.google.com/view/profile1012"
    $maliciousUrl2 = "http://aussiecleaningservices.com/login"
    
    Write-Host "Simulando processamento de link de phishing..."
    $testString = "Processando links: $maliciousUrl1 e $maliciousUrl2"
    Write-Output $testString
  • Comandos de Limpeza:

    # Nenhuma alteração permanente feita no sistema; nenhuma limpeza necessária.
    # Se os arquivos de transcrição foram criados, remova-os:
    # Remove-Item C:Users<User>DocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue