### Abuso de AppSheet para Distribución de Phishing Investigadores de **Guardio** han identificado un nuevo esquema en el que los atacantes aprovechan la plataforma **Google AppSheet** para distribuir correos electrónicos de phishing, eludiendo eficazmente los filtros de spam tradicionales. Los correos electrónicos se hacen pasar por **Soporte de Meta**, instando a los propietarios de cuentas de Negocios de **Facebook** a presentar una apelación bajo la amenaza de eliminación permanente de la cuenta. Shaked Chen, investigador de seguridad en **Guardio**, declaró: "Lo que encontramos no fue un kit de phishing único... Fue una operación activa con paneles de control en tiempo real, evasión avanzada, evolución continua y un ciclo criminal-comercial que se alimenta silenciosamente de las mismas cuentas que ayuda a robar". ### Tácticas y Técnicas Los correos electrónicos de phishing se originan desde una dirección legítima de **Google AppSheet** (`[email protected]`), lo que les otorga un aire de autenticidad. Las víctimas son dirigidas a páginas web falsas diseñadas para robar sus credenciales. Esta campaña comparte similitudes con un ataque anterior reportado por **KnowBe4** en mayo de 2025.  En las últimas semanas, los atacantes han diversificado sus señuelos para inducir un "pánico relacionado con Meta", incluyendo: * Amenazas de deshabilitación de cuenta * Quejas de derechos de autor * Solicitudes de revisión de verificación * Estafas de reclutamiento de ejecutivos * Alertas de inicio de sesión de **Facebook** **Guardio** identificó cuatro clústeres principales de vectores de ataque: * Páginas del centro de ayuda de **Facebook** alojadas en **Netlify** utilizadas para la toma de control de cuentas, recopilando datos personales (fecha de nacimiento, números de teléfono, identificaciones gubernamentales) y reenviándolos a un canal de **Telegram** controlado por los atacantes. * Señuelos de evaluación de insignia azul que redirigen a las víctimas a páginas de "Verificación de Seguridad" o "Meta | Centro de Privacidad" alojadas en **Vercel**, protegidas por CAPTCHAs, que finalmente conducen a páginas de phishing que roban detalles de contacto, información comercial, credenciales y códigos 2FA, exfiltrándolos a un canal de **Telegram**. * PDFs alojados en **Google Drive**, disfrazados de instrucciones de verificación de cuenta, diseñados para robar contraseñas, códigos 2FA, fotos de identificación gubernamental y capturas de pantalla del navegador utilizando html2canvas. Estos PDFs se generan utilizando cuentas gratuitas de **Canva**. * Ofertas de trabajo falsas que se hacen pasar por empresas legítimas como **WhatsApp**, **Meta**, **Adobe**, **Pinterest**, **Apple** y **Coca-Cola** para establecer confianza y solicitar más comunicación en plataformas controladas por los atacantes. ### Escala e Impacto Los canales de **Telegram** asociados con estos ataques contienen aproximadamente 30,000 registros de víctimas, principalmente de EE. UU., Italia, Canadá, Filipinas, India, España, Australia, Reino Unido, Brasil y México. Muchas de estas víctimas han sido bloqueadas de sus cuentas de **Facebook**. ### Atribución La inteligencia de código abierto (OSINT) apunta a un individuo vietnamita, "PHẠM TÀI TÂN", como el autor de los PDFs utilizados en el tercer clúster de ataques, aprovechando una cuenta gratuita de **Canva**. Una investigación adicional reveló un sitio web (`phamtaitan[.]vn`) que ofrece servicios de marketing digital.  ### Implicaciones "En conjunto, forman una imagen coherente de una mega operación a gran escala con base en Vietnam", concluyó Chen. "Esta campaña es más grande que un simple abuso de **AppSheet**. Es una ventana al mercado negro de activos robados de **Facebook**, donde el acceso, la identidad comercial, la reputación publicitaria e incluso la recuperación de cuentas se han convertido en productos comercializables. Otra entrada en el patrón que seguimos descubriendo: plataformas confiables reutilizadas como capas de entrega, alojamiento y monetización."