新たなテクニカルサポート詐欺キャンペーンが、悪意のあるBing検索広告を悪用し、米国のユーザーをクラウドストレージにホストされた偽のMicrosoft Azureサポートページにリダイレクトしています。
Netskope Threat Labsの研究者によると、この活動は2月2日の16:00 UTC頃に始まり、48の異なる組織のユーザーに迅速に影響を与えました。
特定されたすべての被害者は米国に拠点を置いており、医療、製造、テクノロジーなど複数の業界から来ていました。このキャンペーンの規模とスピードは際立っており、特にフィッシングメールやソーシャルメディアリンクではなく、有料検索広告に依存していたためです。
感染チェーンは単純な行動から始まりました。ユーザーがMicrosoft Bingで「amazon」などの一般的な用語を検索したのです。
被害者は正規のウェブサイトを直接クリックする代わりに、検索結果内に配置された悪意のある広告をクリックしました。
これは重要なセキュリティ教訓を浮き彫りにしています。Amazon.comのような既知のURLを直接入力することは、それを検索して広告をクリックするよりも安全です。スポンサー付き検索結果は、正規の結果の上に悪意のあるリンクを配置するために料金を支払う脅威アクターによって悪用される可能性があります。
ユーザーが悪意のある広告をクリックすると、まず空のWordPressサイトをホストする新規登録されたドメインにリダイレクトされました。そのサイトはその後、Microsoft Azure Blob Storageコンテナにホストされたページにトラフィックをリダイレクトしました。
最終的な詐欺ページはAzure Blob Storageにホストされていました。これは正規のクラウドストレージサービスです。攻撃者はランダムな名前で複数のストレージコンテナを作成しました。
URLに埋め込まれた電話番号は詐欺の一部でした。被害者は次のような番号に電話するよう指示されました:
ページに到達すると、ユーザーには偽のセキュリティ問題を警告し、「Azureサポート」に電話するよう促す典型的なテクニカルサポート詐欺メッセージが表示されました。目的は、被害者にリモートアクセスを許可させたり、支払い情報を共有させたりすることでした。
研究者は、同じ命名パターンに従う数十のAzure Blobコンテナドメインを観測しました。
これは、標準化され自動化された展開方法を示唆しており、古いコンテナが削除された場合に攻撃者が新しいコンテナを迅速に立ち上げることを可能にしています。
この戦術は新しいものではありません。テクニカルサポート詐欺師は以前にも、DigitalOceanやStackPathなどのプラットフォームを悪用してフィッシングコンテンツをホストしていました。
しかし、Bing検索結果への悪意のある広告の配置成功により、キャンペーンのリーチが大幅に増加しました。
このキャンペーンは、脅威アクターが正規のクラウドサービスと広告プラットフォームを武器化し続けて、従来のテクニカルサポート詐欺をスケールさせている様子を示しています。
翻訳元: https://cyberpress.org/malicious-bing-ads-scam/