Letzte Woche haben wir über eine App gesprochen, die Nutzern verspricht, dass sie Geld verdienen können, indem sie Spiele testen oder sogar nur durch TikTok scrollen.
Stellen Sie sich unsere Überraschung vor, als wir bei der Untersuchung eines „Cloud-Speicher“-Phishing-Angriffs auf einer Website landeten, die für dieselbe Freecash-App warb. Wir alle haben wahrscheinlich schon einmal einen solchen Angriff gesehen. Sie sind weit verbreitet, und laut einer aktuellen Untersuchung von BleepingComputer gibt es eine
„Groß angelegte Betrugskampagne im Bereich Cloud-Speicher-Abonnements, die sich an Nutzer weltweit richtet und wiederholt E-Mails versendet, in denen die Empfänger fälschlicherweise gewarnt werden, dass ihre Fotos, Dateien und Konten aufgrund einer angeblichen Zahlungsstörung gesperrt oder gelöscht werden sollen.“
Basierend auf der Beschreibung in diesem Artikel scheint die von uns gefundene E-Mail Teil dieser Kampagne zu sein.
Die Betreffzeile der E-Mail lautet:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
Dies entspricht einer der Betreffzeilen, die BleepingComputer aufgelistet hat.
Und der Inhalt der E-Mail:
„Zahlungsproblem – Cloud-Speicher
Sehr geehrter Nutzer,
Bei der Verlängerung Ihres Cloud Storage-Abonnements ist ein Problem aufgetreten.
Leider ist Ihre Zahlungsmethode abgelaufen. Um sicherzustellen, dass Ihre Cloud ohne Unterbrechung weiterläuft, aktualisieren Sie bitte Ihre Zahlungsdaten.
Abonnement-ID: 9371188
Produkt: Cloud-Speicher Premium
Ablaufdatum: Samstag, 24. Januar 2026
Wenn Sie Ihre Zahlungsinformationen nicht aktualisieren, verlieren Sie möglicherweise den Zugriff auf Ihren Cloud-Speicher, wodurch Sie Ihre Daten wie Fotos, Videos und Dokumente nicht mehr speichern und synchronisieren können.
Zahlungsdaten aktualisieren {Link-Button}
Sicherheitsempfehlungen:
- Greifen Sie immer über unsere offizielle Website auf Ihr Konto zu.
- Geben Sie Ihr Passwort niemals an Dritte weiter.
- Stellen Sie sicher, dass Ihre Kontakt- und Rechnungsdaten auf dem neuesten Stand sind.
Der Link in der E-Mail führt zu https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, wodurch der Betrüger ein gewisses Maß an Vertrauen aufbauen kann, da es auf Google Cloud Storage (GCS) verweist. GCS ist ein legitimer Dienst, mit dem autorisierte Benutzer Daten wie Dateien, Bilder und Videos in Buckets speichern und verwalten können. Wie in diesem Fall können Angreifer ihn jedoch für Phishing missbrauchen.
Die Weiterleitung überträgt einige Parameter an die nächste Website.
Die feed.headquartoonjpn[.]com Die Domain wurde von Malwarebytes blockiert. Wir haben dies bereits in einer früheren Kampagne gesehen, bei der es um einen Phishing-Angriff mit dem Thema „Ausdauer“ ging.
Nach einigen weiteren Weiterleitungen landeten wir schließlich bei hx5.submitloading[.]com, wo ein gefälschtes CAPTCHA die letzte Weiterleitung zu freecash[.]com, sobald es gelöst war.
Das Endziel dieses Phishing-Angriffs hängt wahrscheinlich von den Parametern ab, die während der Weiterleitungen übermittelt werden, sodass die Ergebnisse variieren können.
Anstatt direkt Zugangsdaten zu stehlen, scheint die Kampagne darauf ausgerichtet zu sein, Traffic zu monetarisieren, indem Opfer zu Affiliate-Angeboten weitergeleitet werden, bei denen die Betreiber für Anmeldungen oder Conversions bezahlt werden.
BleepingComputer stellte fest, dass sie zu Affiliate-Marketing-Websites für verschiedene Produkte weitergeleitet wurden.
„Zu den Produkten, die im Rahmen dieser Phishing-Kampagne beworben werden, gehören VPN , wenig bekannte Sicherheitssoftware und andere abonnementbasierte Angebote, die nichts mit Cloud-Speicher zu tun haben.“
Wie man sicher bleibt
Ironischerweise enthält die Phishing-E-Mail selbst einige fundierte Ratschläge:
- Greifen Sie immer über unsere offizielle Website auf Ihr Konto zu.
- Geben Sie Ihr Passwort niemals an Dritte weiter.
Wir möchten hinzufügen:
- Klicken Sie niemals auf Links in unaufgeforderten E-Mails, ohne diese zuvor mit einer vertrauenswürdigen Quelle zu überprüfen.
- Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung mit einer Webschutzkomponente.
- Besuchen Sie keine Websites, die Besucher auf diese Weise anlocken.
Profi-Tipp: Malwarebytes Guard hätte Ihnen dabei geholfen, diese E-Mail als Betrugsversuch zu erkennen, und Ihnen Ratschläge zum weiteren Vorgehen gegeben.
Umleitungsfluss (IOCs)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Aktualisierung vom 5. Februar 2026
Die Almedia GmbH, das Unternehmen hinter der Freecash-Plattform, wandte sich an uns, um Informationen über die Kette von Weiterleitungen zu erhalten, die zu ihrer Plattform führen. Nach einer Untersuchung teilte sie uns Folgendes mit:
„Aufgrund der Meldung Malwarebytesund der zusätzlichen Informationen, die sie uns zur Verfügung gestellt haben, haben wir den Vorfall untersucht und einen Partner identifiziert, der gegen unsere Richtlinien verstoßen hat. Dieser Partner wurde aus unserem Netzwerk entfernt.
Almedia verkauft keine Nutzerdaten und wir nehmen Compliance, das Vertrauen der Nutzer und verantwortungsvolle Werbung sehr ernst.
Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.
