Giudizio offuscato: come le truffe di falso supporto Azure hanno dirottato gli annunci Bing per colpire utenti negli Stati Uniti

Tutto è iniziato con una semplice ricerca - “amazon” - su Bing. Nel giro di poche ore, professionisti ignari nei settori sanitario, manifatturiero e tecnologico si sono ritrovati davanti ad allarmanti avvisi di “Supporto Azure”, che li esortavano a chiamare misteriosi numeri verdi. Ma dietro banner dall’aspetto ufficiale e allerte urgenti si nascondeva un’operazione di truffa sofisticata, capace di fondere pubblicità a pagamento e tecnologia cloud per intrappolare centinaia di utenti nel giro di poche ore.

Lo schema, scoperto da Netskope Threat Labs, ha segnato un nuovo livello sia per scala sia per metodo. Invece di affidarsi alle classiche email di phishing o a link sospetti sui social, i cybercriminali hanno comprato l’accesso ai risultati sponsorizzati di Bing. Quando gli utenti cercavano marchi comuni, un annuncio malevolo - mimetizzato tra link legittimi - era pronto a reindirizzare gli incauti verso una trappola.

La catena d’infezione era ingannevolmente semplice. Il clic sull’annuncio fraudolento portava a un sito WordPress appena creato, che a sua volta convogliava il traffico verso una serie di container di Azure Blob Storage. Questi container, con stringhe casuali nel nome e un percorso fisso che terminava in werrx01USAHTML/index.html, ospitavano pagine truffaldine curate nei dettagli, progettate per imitare il supporto ufficiale Microsoft. Ogni URL incorporava un numero di telefono univoco, come 1-866-520-2041, collegando le vittime direttamente ai call center dei truffatori.

Su queste pagine, i visitatori si trovavano davanti a falsi avvisi su violazioni di sicurezza o account compromessi. I numeri di “supporto” conducevano ad agenti che puntavano a estorcere informazioni sensibili, dettagli di pagamento o l’accesso remoto al dispositivo della vittima. L’infrastruttura della campagna - decine di container avviati tramite script automatizzati - faceva sì che, anche quando Microsoft rimuoveva un primo insieme di domini malevoli, nuovi potessero sostituirli rapidamente.

Non è la prima volta che le truffe di supporto tecnico sfruttano piattaforme cloud. Campagne precedenti hanno abusato di servizi come DigitalOcean e StackPath. Ma infiltrandosi nell’ecosistema pubblicitario di Bing, gli attaccanti hanno aumentato drasticamente la loro portata. L’incidente evidenzia una lezione di sicurezza cruciale: i risultati di ricerca sponsorizzati possono essere manipolati da chi è disposto a pagare, e servizi cloud legittimi possono essere trasformati in armi per ospitare contenuti criminali.

Per organizzazioni e singoli, il messaggio è chiaro. Digitare direttamente URL affidabili è meglio che cliccare sugli annunci di ricerca, per quanto possano sembrare ufficiali. I team di sicurezza dovrebbero monitorare traffico sospetto verso blob.core.windows.net e bloccare i numeri di telefono truffaldini noti. Man mano che i criminali evolvono le loro tecniche, solo vigilanza ed educazione degli utenti possono impedire che il lato positivo del cloud si oscuri.

WIKICROOK

• Azure Blob Storage: un servizio cloud di Microsoft per archiviare grandi quantità di dati non strutturati, come testo o immagini.
• Phishing: un metodo di attacco informatico in cui gli aggressori si spacciano per entità legittime per indurre le vittime a rivelare informazioni sensibili.
• Risultati di ricerca sponsorizzati: annunci a pagamento che compaiono in cima ai risultati dei motori di ricerca, spesso sopra i link organici.
• Accesso remoto: la possibilità di controllare un computer o una rete da una posizione distante, spesso presa di mira dai truffatori che cercano di impossessarsi dei dispositivi delle vittime.
• Dominio: l’indirizzo univoco di un sito web su internet, usato per identificare e accedere alle risorse web.