高度なテクニカルサポート詐欺キャンペーンが出現し、Bingの検索結果に表示される悪意ある広告を悪用して被害者をMicrosoftのAzure Blob Storageプラットフォーム上でホストされた不正サイトへリダイレクトしています。
この攻撃は2026年2月2日に初めて検知され、数時間のうちに米国の48組織にまたがるユーザーに影響を与えました。正規の広告チャネルをサイバー犯罪に武器化する有効性を示しています。
詐欺は、ユーザーがBingで「amazon」などの一般的な語句を検索し、正規に見えるスポンサー結果をクリックするところから始まります。
これらの悪意ある広告は、仲介として空のWordPressサイトのサーバーをホストする新規登録ドメイン highswit[.]space に被害者をリダイレクトします。
そこからユーザーは、偽のテクニカルサポート警告ページを表示するAzure Blob Storageコンテナーへリダイレクトされます。
この攻撃手法はマルバタイジングとして知られ、脅威アクターが検索エンジンの広告プラットフォームを悪用して悪意あるコンテンツを検索結果の最上位に配置するにつれ、ますます高度化しています。
広告枠を購入することで、犯罪者は検索エンジン最適化(SEO)の必要性を回避し、自動的にプレミアムな可視性を獲得します。
インフラと規模
すべての悪意あるURLは一貫したパターンに従っていました:xxxxxxxxxxxxxxxxxx.blob.core.windows.net/yyyyyyyyy/werrx01USAHTML/index.html。これは標準化された展開手法を示しています。
研究者は、このキャンペーンに関連する70以上の固有のAzure Blob Storageコンテナードメインを特定しました。
詐欺ページは被害者に、1-866-520-2041 や 1-833-445-4045 などの電話番号へ電話するよう指示し、詐欺師は被害者のコンピューターが感染していると主張して不要なサービスの代金を要求しました。
Azure Blob Storageは、正規のインフラであること、そして悪意あるコンテンツを正当な利用と区別しにくいことから、脅威アクターにとって魅力的なプラットフォームとなっています。
Microsoft Threat Intelligenceは、Azureサービスを標的とした悪意ある活動の増加について警告しており、犯罪者が設定ミスや過度に寛容なアクセス制御を悪用しているとしています。
業界への影響と対応
このキャンペーンは、医療、製造、テクノロジーなど複数のセクターに影響を与えました。Netskope Threat Labsは監視システムを通じてこのキャンペーンを検知し、ページを「ET PHISHING Microsoft Support Phish Landing Page」としてフラグ付けしました。
報告されたAzure Blob Storageドメインは、開示後にMicrosoftによってすべて無効化されました。
テクニカルサポート詐欺は依然として根強い脅威であり、検索エンジンは不正な広告主との戦いを継続しています。
Microsoftは以前、1,500万件を超える悪意ある広告をブロックした後、2018年にBingからサードパーティのテクニカルサポート広告を禁止しました。
しかし、この事案は、脅威アクターが広告を偽装し、正規のクラウドインフラを悪用することで、防御策を回避する方法を引き続き見つけていることを示しています。
セキュリティ専門家は、悪意ある広告を完全に回避するため、検索結果に頼るのではなく、Webサイトのアドレスをブラウザーに直接入力することを推奨しています。
翻訳元: https://gbhackers.com/azure-tech-support-scams/
