Hack Alerta

Campanha de malvertising em 3 etapas abusa de anúncios pagos do Facebook

Por Redação Hack Alerta Publicado em 05/02/2026 05:04 Riscos e Ameaças Tempo de leitura: 3 min

Gen Threat Labs descreve uma cadeia de malvertising que usa anúncios pagos do Facebook para redirecionar usuários a um kit de scam hospedado em Azure. Os atacantes rotacionaram >100 domínios em sete dias e usaram um site isca como buffer. Recomendações incluem monitorar redirecionamentos de anúncios, bloquear domínios recém‑registrados e revisar campanhas de ad ops.

Pesquisadores rastrearam uma cadeia de malvertising em três etapas que abusa de anúncios pagos do Facebook para redirecionar usuários a um kit de scam de suporte técnico hospedado em infraestrutura legítima de nuvem.

O fluxo da cadeia

Analistas da Gen Threat Labs descreveram a sequência: anúncio pago no Facebook → site isca (simulando um restaurante italiano) → landing page final hospedada em subdomínios Microsoft Azure (web.core.windows.net) que exibe um falso alerta de comprometimento e coage a vítima a ligar para uma linha de suporte fraudulenta.

Infraestrutura e evasão

Os atacantes usaram duas técnicas para permanecer operacionais: rotação rápida de infraestrutura (mais de 100 domínios diferentes em sete dias) e hospedagem final em subdomínios legítimos do Azure, dificultando bloqueios amplos sem causar impacto a serviços genuínos. O uso do domínio decoy (simplydeliciouspairing[.]com) funciona como um buffer para evitar detecção automatizada.

Alvo e padrão temporal

A atividade foi observada com foco nos Estados Unidos e segue um padrão predominante em dias úteis, o que sugere operação profissional e tentativa de maximizar alcance durante horários de pico.

Riscos operacionais

  • Alta taxa de rotação de domínios reduz eficácia de listas estáticas de bloqueio.
  • Hospedagem em plataformas cloud públicas (Azure) permite aparência legítima e dificulta abordagem por sigs simples.
  • Vítimas podem perder dinheiro ou entregar credenciais ao tentar contatar a "suporte" indicado.

Contramedidas

Recomendações práticas para defender organizações e usuários:

  • Bloquear ou monitorar domínios detectados como IOCs e identificar padrões de redirecionamento de anúncios pagos.
  • Monitorar e analisar tráfego para subdomínios de cloud (web.core.windows.net) em conjunção com páginas decoy conhecidas para identificar redirecionamentos maliciosos.
  • Teams de segurança de plataformas e publicidade (ad ops) devem exigir validação de destino e revisar campanhas incomuns; usar listas de bloqueio dinâmicas para domínios recém‑registrados.
  • Campanhas de conscientização para usuários sobre risco de clicar em anúncios e sobre verificação do URL final antes de fornecer informações ou ligar para números apresentados em popups.

Limitações das informações públicas

O relatório público não indica métricas de conversão (quantas vítimas ligaram/foram extorquidas) nem a lista completa de domínios rotacionados. Essas métricas são importantes para avaliar a escala e priorizar bloqueios na publicidade paga.

Baseado em publicação original de Cyber Security News
Tags: #malvertising #facebook #azure #tss #ad-ops #dominios-rotativos #web-core-windows-net #gen-threat-labs #phishing
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar