### Utilisation abusive d'AppSheet pour la distribution de phishing Des chercheurs de **Guardio** ont identifié un nouveau stratagème où des attaquants exploitent la plateforme **Google AppSheet** pour distribuer des e-mails de phishing, contournant ainsi efficacement les filtres anti-spam traditionnels. Les e-mails usurpent l'identité du **Support Meta**, incitant les propriétaires de comptes professionnels **Facebook** à soumettre un recours sous la menace d'une suppression définitive du compte. Shaked Chen, chercheur en sécurité chez **Guardio**, a déclaré : « Ce que nous avons trouvé n'était pas un simple kit de phishing... C'était une opération vivante avec des panneaux d'opérateurs en temps réel, une évasion avancée, une évolution continue et une boucle crimino-commerciale qui se nourrit discrètement des mêmes comptes qu'elle aide à voler. » ### Tactiques et Techniques Les e-mails de phishing proviennent d'une adresse légitime de **Google AppSheet** (`[email protected]`), leur conférant un air d'authenticité. Les victimes sont dirigées vers de fausses pages web conçues pour voler leurs identifiants. Cette campagne présente des similitudes avec une attaque précédente signalée par **KnowBe4** en mai 2025.  Au cours des dernières semaines, les attaquants ont diversifié leurs leurres pour susciter une « panique liée à Meta », notamment : * Menaces de désactivation de compte * Plaintes pour violation de droits d'auteur * Demandes de vérification * Arnaques au recrutement de cadres * Alertes de connexion **Facebook** **Guardio** a identifié quatre principaux groupes de vecteurs d'attaque : * Pages du centre d'aide **Facebook** hébergées sur **Netlify** utilisées pour la prise de contrôle de compte, collectant des données personnelles (date de naissance, numéros de téléphone, pièces d'identité gouvernementales) et les transmettant à un canal **Telegram** contrôlé par les attaquants. * Leurres d'évaluation de badge bleu redirigeant les victimes vers des pages de « Vérification de sécurité » ou « Meta | Centre de confidentialité » hébergées sur **Vercel**, protégées par des CAPTCHAs, menant finalement à des pages de phishing qui volent les coordonnées, les informations commerciales, les identifiants et les codes 2FA, les exfiltrant vers un canal **Telegram**. * PDF hébergés sur **Google Drive**, déguisés en instructions de vérification de compte, conçus pour collecter des mots de passe, des codes 2FA, des photos d'identité gouvernementales et des captures d'écran de navigateur à l'aide de html2canvas. Ces PDF sont générés à l'aide de comptes **Canva** gratuits. * Fausses offres d'emploi usurpant l'identité d'entreprises légitimes comme **WhatsApp**, **Meta**, **Adobe**, **Pinterest**, **Apple** et **Coca-Cola** pour établir la confiance et solliciter une communication ultérieure sur des plateformes contrôlées par les attaquants. ### Échelle et Impact Les canaux **Telegram** associés à ces attaques contiennent environ 30 000 enregistrements de victimes, principalement des États-Unis, d'Italie, du Canada, des Philippines, de l'Inde, d'Espagne, d'Australie, du Royaume-Uni, du Brésil et du Mexique. Beaucoup de ces victimes ont été bloquées hors de leurs comptes **Facebook**. ### Attribution Le renseignement en source ouverte (OSINT) désigne un individu vietnamien, « PHẠM TÀI TÂN », comme l'auteur des PDF utilisés dans le troisième groupe d'attaques, exploitant un compte **Canva** gratuit. Une enquête plus approfondie a révélé un site web (`phamtaitan[.]vn`) proposant des services de marketing numérique.  ### Implications « Pris ensemble, ils forment une image cohérente d'une méga-opération à grande échelle basée au Vietnam », a conclu Chen. « Cette campagne est plus qu'une simple utilisation abusive d'AppSheet. C'est une fenêtre sur le marché noir autour des actifs **Facebook** volés, où l'accès, l'identité commerciale, la réputation publicitaire et même la récupération de compte sont devenus des produits négociables. Une autre entrée dans le schéma que nous continuons de découvrir : des plateformes de confiance réutilisées comme couches de distribution, d'hébergement et de monétisation. »