Selon Netskope Threat Labs, une campagne d’arnaque au support technique a émergé le 2 février (vers 16:00 UTC), exploitant des annonces sponsorisées dans Bing et redirigeant vers des pages frauduleuses hébergées dans Azure Blob Storage. Les victimes—toutes situées aux États‑Unis—proviennent de 48 organisations couvrant les secteurs de la santé, de la fabrication et de la technologie.

🔎 Principaux constats

  • Vecteur publicitaire (malvertising) : des annonces Bing pour des recherches anodines (ex. “amazon”) mènent vers un domaine intermédiaire, puis vers les pages de scam.
  • Redirection : clic sur l’annonce → highswit[.]space (WordPress vide) → conteneurs Azure Blob hébergeant les faux sites de support Microsoft.
  • Impact : 48 organisations affectées en peu de temps, réparties sur plusieurs industries aux États‑Unis.
  • Détection : Netskope classe ces pages comme ET PHISHING Microsoft Support Phish Landing Page.
  • Désactivation : l’ensemble des domaines Azure Blob signalés à Microsoft ne servaient plus de contenu malveillant à la publication du billet.

☁️ Infrastructure et schéma d’URL

  • Hébergement final : Azure Blob Storage.
  • Motif d’URL observé : xxxxxxxxxxxxxxxxxx.blob.core.windows.net/yyyyyyyyy/werrx01USAHTML/index.html?bcda=1-866-520-2041
    • xxxxxxxxxxxxxxxxxx.blob.core.windows.net : conteneur Azure Blob
    • yyyyyyyyy : chaîne aléatoire
    • werrx01USAHTML/index.html : chaîne constante dans les occurrences observées
    • bcda=<numéro> : numéro de téléphone que la victime est invitée à appeler ☎️

📞 Numéros de téléphone affichés aux victimes

  • 1-866-520-2041
  • 1-833-445-4045
  • 1-855-369-0320
  • 1-866-520-2173
  • 1-833-445-3957

🧩 IOCs

  • Domaine de redirection : highswit[.]space
  • Conteneurs Azure Blob observés :
    • 2222wny78new832zzz[.]blob[.]core[.]windows[.]net
    • 222oo78new832zz[.]blob[.]core[.]windows[.]net
    • 222y78new832zz[.]blob[.]core[.]windows[.]net
    • 222ynew9983zzzzz[.]blob[.]core[.]windows[.]net
    • 2299iz8ynew9983z[.]blob[.]core[.]windows[.]net
    • 2299zzynew345[.]blob[.]core[.]windows[.]net
    • 22ii98zew9983zxz[.]blob[.]core[.]windows[.]net
    • 22nmynew9983zz[.]blob[.]core[.]windows[.]net
    • 22uiz889992nnzzaazz[.]blob[.]core[.]windows[.]net
    • 22zz78new832zzzz[.]blob[.]core[.]windows[.]net
    • 22zzew9983zxzzz[.]blob[.]core[.]windows[.]net
    • 22zzny78new832zz[.]blob[.]core[.]windows[.]net
    • 22zznynew3778zzzzz[.]blob[.]core[.]windows[.]net
    • 22zzynew9983zz[.]blob[.]core[.]windows[.]net
    • 22zzzmnz77993zz[.]blob[.]core[.]windows[.]net
    • 22zzzwjj8new832zzzz[.]blob[.]core[.]windows[.]net
    • 23888zynew345[.]blob[.]core[.]windows[.]net
    • 2uuii92mynew9983zz[.]blob[.]core[.]windows[.]net
    • 2zzz3328new832zz[.]blob[.]core[.]windows[.]net
    • 2zzzy78new832z29[.]blob[.]core[.]windows[.]net
    • 33zzy78new832zzzz[.]blob[.]core[.]windows[.]net
    • 778zzzew9983[.]blob[.]core[.]windows[.]net
    • 788znew9983zzzzzzz[.]blob[.]core[.]windows[.]net
    • a99w82nz77993zz[.]blob[.]core[.]windows[.]net
    • auaizaz788zjzzsds[.]blob[.]core[.]windows[.]net
    • axsuizasuu78zmzz[.]blob[.]core[.]windows[.]net
    • azazaxswdr4sss[.]blob[.]core[.]windows[.]net
    • eemnz77993zz[.]blob[.]core[.]windows[.]net
    • ggy28zy78new832zz[.]blob[.]core[.]windows[.]net
    • nsjxsxsdxd788bnz89zz[.]blob[.]core[.]windows[.]net
    • rtt772ynew9983[.]blob[.]core[.]windows[.]net
    • rtytz8z89z9znnzbha[.]blob[.]core[.]windows[.]net
    • sjj8872ny78new8e[.]blob[.]core[.]windows[.]net
    • sssjj8872ny78new8ezz[.]blob[.]core[.]windows[.]net
    • sxsjkks8xs89znm[.]blob[.]core[.]windows[.]net
    • sxskkxsx8s8zzaszsa[.]blob[.]core[.]windows[.]net
    • sxskzksx8s8zxnnx[.]blob[.]core[.]windows[.]net
    • t7822zz2r9nowss[.]blob[.]core[.]windows[.]net
    • tt22y78new832zzswzz[.]blob[.]core[.]windows[.]net
    • tt278new832zz[.]blob[.]core[.]windows[.]net
    • tt72ny78new832z29[.]blob[.]core[.]windows[.]net
    • tt77zzynew9983zz[.]blob[.]core[.]windows[.]net
    • tty2zz78new832zz[.]blob[.]core[.]windows[.]net
    • ty8822mynew99szz[.]blob[.]core[.]windows[.]net
    • tyuz788z788n2nba[.]blob[.]core[.]windows[.]net
    • uu28jhzynew9983zz[.]blob[.]core[.]windows[.]net
    • w2ony78new832[.]blob[.]core[.]windows[.]net
    • w33ssy78new832[.]blob[.]core[.]windows[.]net
    • w98982wny78new8[.]blob[.]core[.]windows[.]net
    • wii992ynew9983[.]blob[.]core[.]windows[.]net
    • ww889zew832zzswzz[.]blob[.]core[.]windows[.]net
    • wwi2292ynew998sooz[.]blob[.]core[.]windows[.]net
    • wwnynew3778z[.]blob[.]core[.]windows[.]net
    • wwu88nz77993zz[.]blob[.]core[.]windows[.]net
    • wwzzmnz77993zz[.]blob[.]core[.]windows[.]net
    • wyuy88znew345[.]blob[.]core[.]windows[.]net
    • wz878728new832zz[.]blob[.]core[.]windows[.]net
    • wzz433w8new832zz[.]blob[.]core[.]windows[.]net
    • wzzzmynew9983zz[.]blob[.]core[.]windows[.]net
    • xsxssakxksxs8zz[.]blob[.]core[.]windows[.]net
    • yu882ynew99z98[.]blob[.]core[.]windows[.]net
    • yy78822new9983z[.]blob[.]core[.]windows[.]net
    • yy822ynew9983zz[.]blob[.]core[.]windows[.]net
    • yy822ynew9983zzzz[.]blob[.]core[.]windows[.]net
    • yy882mynew99z982[.]blob[.]core[.]windows[.]net
    • zauuazaa788z7zaass[.]blob[.]core[.]windows[.]net
    • zmz77993zz[.]blob[.]core[.]windows[.]net
    • zyyuiz889992nnzzaazz[.]blob[.]core[.]windows[.]net
    • zzlll9989zzsss[.]blob[.]core[.]windows[.]net
    • zzy778zew9983[.]blob[.]core[.]windows[.]net

🛠️ TTPs (techniques observées)

  • Malvertising via annonces sponsorisées dans les résultats de Bing.
  • Redirection à travers un domaine intermédiaire (highswit[.]space) vers Azure Blob Storage.
  • Hébergement d’arnaque au support technique imitant le support Microsoft, incitant à appeler des numéros de téléphone dédiés.
  • Déploiement standardisé: réutilisation d’un même chemin werrx01USAHTML/index.html et d’un paramètre bcda=<numéro>.

Il s’agit d’une analyse de menace visant à documenter la campagne, son impact initial, et à partager les indicateurs découverts.

🧠 TTPs et IOCs détectés

TTP

[‘Malvertising via annonces sponsorisées dans les résultats de Bing’, ‘Redirection à travers un domaine intermédiaire vers Azure Blob Storage’, ‘Hébergement d’arnaque au support technique imitant le support Microsoft’, ‘Déploiement standardisé avec réutilisation d’un même chemin et d’un paramètre’]

IOC

{‘domain’: [‘highswit[.]space’, ‘2222wny78new832zzz[.]blob[.]core[.]windows[.]net’, ‘222oo78new832zz[.]blob[.]core[.]windows[.]net’, ‘222y78new832zz[.]blob[.]core[.]windows[.]net’, ‘222ynew9983zzzzz[.]blob[.]core[.]windows[.]net’, ‘2299iz8ynew9983z[.]blob[.]core[.]windows[.]net’, ‘2299zzynew345[.]blob[.]core[.]windows[.]net’, ‘22ii98zew9983zxz[.]blob[.]core[.]windows[.]net’, ‘22nmynew9983zz[.]blob[.]core[.]windows[.]net’, ‘22uiz889992nnzzaazz[.]blob[.]core[.]windows[.]net’, ‘22zz78new832zzzz[.]blob[.]core[.]windows[.]net’, ‘22zzew9983zxzzz[.]blob[.]core[.]windows[.]net’, ‘22zzny78new832zz[.]blob[.]core[.]windows[.]net’, ‘22zznynew3778zzzzz[.]blob[.]core[.]windows[.]net’, ‘22zzynew9983zz[.]blob[.]core[.]windows[.]net’, ‘22zzzmnz77993zz[.]blob[.]core[.]windows[.]net’, ‘22zzzwjj8new832zzzz[.]blob[.]core[.]windows[.]net’, ‘23888zynew345[.]blob[.]core[.]windows[.]net’, ‘2uuii92mynew9983zz[.]blob[.]core[.]windows[.]net’, ‘2zzz3328new832zz[.]blob[.]core[.]windows[.]net’, ‘2zzzy78new832z29[.]blob[.]core[.]windows[.]net’, ‘33zzy78new832zzzz[.]blob[.]core[.]windows[.]net’, ‘778zzzew9983[.]blob[.]core[.]windows[.]net’, ‘788znew9983zzzzzzz[.]blob[.]core[.]windows[.]net’, ‘a99w82nz77993zz[.]blob[.]core[.]windows[.]net’, ‘auaizaz788zjzzsds[.]blob[.]core[.]windows[.]net’, ‘axsuizasuu78zmzz[.]blob[.]core[.]windows[.]net’, ‘azazaxswdr4sss[.]blob[.]core[.]windows[.]net’, ’eemnz77993zz[.]blob[.]core[.]windows[.]net’, ‘ggy28zy78new832zz[.]blob[.]core[.]windows[.]net’, ’nsjxsxsdxd788bnz89zz[.]blob[.]core[.]windows[.]net’, ‘rtt772ynew9983[.]blob[.]core[.]windows[.]net’, ‘rtytz8z89z9znnzbha[.]blob[.]core[.]windows[.]net’, ‘sjj8872ny78new8e[.]blob[.]core[.]windows[.]net’, ‘sssjj8872ny78new8ezz[.]blob[.]core[.]windows[.]net’, ‘sxsjkks8xs89znm[.]blob[.]core[.]windows[.]net’, ‘sxskkxsx8s8zzaszsa[.]blob[.]core[.]windows[.]net’, ‘sxskzksx8s8zxnnx[.]blob[.]core[.]windows[.]net’, ’t7822zz2r9nowss[.]blob[.]core[.]windows[.]net’, ’tt22y78new832zzswzz[.]blob[.]core[.]windows[.]net’, ’tt278new832zz[.]blob[.]core[.]windows[.]net’, ’tt72ny78new832z29[.]blob[.]core[.]windows[.]net’, ’tt77zzynew9983zz[.]blob[.]core[.]windows[.]net’, ’tty2zz78new832zz[.]blob[.]core[.]windows[.]net’, ’ty8822mynew99szz[.]blob[.]core[.]windows[.]net’, ’tyuz788z788n2nba[.]blob[.]core[.]windows[.]net’, ‘uu28jhzynew9983zz[.]blob[.]core[.]windows[.]net’, ‘w2ony78new832[.]blob[.]core[.]windows[.]net’, ‘w33ssy78new832[.]blob[.]core[.]windows[.]net’, ‘w98982wny78new8[.]blob[.]core[.]windows[.]net’, ‘wii992ynew9983[.]blob[.]core[.]windows[.]net’, ‘ww889zew832zzswzz[.]blob[.]core[.]windows[.]net’, ‘wwi2292ynew998sooz[.]blob[.]core[.]windows[.]net’, ‘wwnynew3778z[.]blob[.]core[.]windows[.]net’, ‘wwu88nz77993zz[.]blob[.]core[.]windows[.]net’, ‘wwzzmnz77993zz[.]blob[.]core[.]windows[.]net’, ‘wyuy88znew345[.]blob[.]core[.]windows[.]net’, ‘wz878728new832zz[.]blob[.]core[.]windows[.]net’, ‘wzz433w8new832zz[.]blob[.]core[.]windows[.]net’, ‘wzzzmynew9983zz[.]blob[.]core[.]windows[.]net’, ‘xsxssakxksxs8zz[.]blob[.]core[.]windows[.]net’, ‘yu882ynew99z98[.]blob[.]core[.]windows[.]net’, ‘yy78822new9983z[.]blob[.]core[.]windows[.]net’, ‘yy822ynew9983zz[.]blob[.]core[.]windows[.]net’, ‘yy822ynew9983zzzz[.]blob[.]core[.]windows[.]net’, ‘yy882mynew99z982[.]blob[.]core[.]windows[.]net’, ‘zauuazaa788z7zaass[.]blob[.]core[.]windows[.]net’, ‘zmz77993zz[.]blob[.]core[.]windows[.]net’, ‘zyyuiz889992nnzzaazz[.]blob[.]core[.]windows[.]net’, ‘zzlll9989zzsss[.]blob[.]core[.]windows[.]net’, ‘zzy778zew9983[.]blob[.]core[.]windows[.]net’], ‘phone_numbers’: [‘1-866-520-2041’, ‘1-833-445-4045’, ‘1-855-369-0320’, ‘1-866-520-2173’, ‘1-833-445-3957’]}

🔗 Source originale : https://www.netskope.com/blog/malicious-bing-ads-lead-to-widespread-azure-tech-support-scams