La settimana scorsa abbiamo parlato di un'app che promette agli utenti di guadagnare denaro testando giochi o anche solo scorrendo TikTok.
Immaginate la nostra sorpresa quando ci siamo ritrovati su un sito che promuoveva quella stessa app Freecash mentre indagavamo su un phishing relativo al "cloud storage". Probabilmente tutti ne abbiamo visto uno. Sono abbastanza comuni e, secondo una recente indagine condotta da BleepingComputer, c'è un
"Campagna di truffa su larga scala relativa agli abbonamenti ai servizi di archiviazione cloud che prende di mira utenti in tutto il mondo con e-mail ripetute che avvisano falsamente i destinatari che le loro foto, i loro file e i loro account stanno per essere bloccati o cancellati a causa di un presunto mancato pagamento".
In base alla descrizione contenuta in quell'articolo, l'e-mail che abbiamo trovato sembra far parte di questa campagna.

L'oggetto dell'e-mail è:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
Questo corrisponde a uno degli oggetti elencati da BleepingComputer.
E il contenuto dell'e-mail:
"Problema di pagamento - Archiviazione cloud
Gentile utente,
Abbiamo riscontrato un problema durante il tentativo di rinnovare l'abbonamento a Cloud Storage.
Purtroppo, il tuo metodo di pagamento è scaduto. Per garantire che il tuo Cloud continui a funzionare senza interruzioni, aggiorna i tuoi dati di pagamento.
ID abbonamento: 9371188
Prodotto: Cloud Storage Premium
Data di scadenza: sabato 24 gennaio 2026
Se non aggiorni le tue informazioni di pagamento, potresti perdere l'accesso al tuo Cloud Storage, il che potrebbe impedirti di salvare e sincronizzare i tuoi dati come foto, video e documenti.
Aggiorna dettagli di pagamento {pulsante link}
Raccomandazioni di sicurezza:
- Accedi sempre al tuo account tramite il nostro sito web ufficiale.
- Non condividere mai la tua password con nessuno
- Assicurati che i tuoi dati di contatto e di fatturazione siano aggiornati.
Il link contenuto nell'e-mail rimanda a https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, che aiuta il truffatore a stabilire un certo grado di fiducia perché rimanda a Google Cloud Storage (GCS). GCS è un servizio legittimo che consente agli utenti autorizzati di archiviare e gestire dati quali file, immagini e video in bucket. Tuttavia, come in questo caso, gli aggressori possono abusarne per il phishing.
Il reindirizzamento trasferisce alcuni parametri al sito web successivo.

Il feed.headquartoonjpn[.]com Il dominio è stato bloccato da Malwarebytes. Lo abbiamo già visto in una precedente campagna che coinvolgeva un phishing a tema Endurance.

Dopo alcuni altri reindirizzamenti, siamo finiti su hx5.submitloading[.]com, dove un CAPTCHA falso ha attivato l'ultimo reindirizzamento a freecash[.]com, una volta risolto.

L'obiettivo finale di questo phishing dipende probabilmente dai parametri trasmessi durante i reindirizzamenti, quindi i risultati possono variare.
Piuttosto che rubare direttamente le credenziali, la campagna sembra progettata per monetizzare il traffico, indirizzando le vittime verso offerte di affiliazione in cui gli operatori vengono pagati per le iscrizioni o le conversioni.
BleepingComputer ha osservato che gli utenti venivano reindirizzati a siti web di marketing affiliato per vari prodotti.
"I prodotti promossi in questa campagna di phishing includono VPN , software di sicurezza poco conosciuti e altre offerte in abbonamento che non hanno alcun collegamento con l'archiviazione cloud."
Come stare al sicuro
Ironia della sorte, l'e-mail di phishing stessa contiene alcuni consigli validi:
- Accedi sempre al tuo account tramite il nostro sito web ufficiale.
- Non condividere mai la tua password con nessuno.
Vorremmo aggiungere:
- Non cliccare mai sui link contenuti in email non richieste senza aver verificato con una fonte attendibile.
- Utilizza una soluzione anti-malware aggiornata e in tempo reale con un componente di protezione web.
- Non interagire con siti web che attraggono visitatori in questo modo.
Suggerimento professionale: Malwarebytes Guard ti avrebbe aiutato a identificare questa e-mail come una truffa e ti avrebbe fornito consigli su come procedere.
Reindirizzamento del flusso (IOC)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Aggiornamento 5 febbraio 2026
Almedia GmbH, la società che gestisce la piattaforma Freecash, ci ha contattato per avere informazioni sulla catena di reindirizzamenti che porta alla loro piattaforma. Dopo aver condotto un'indagine, ci hanno comunicato che:
"A seguito della segnalazione Malwarebytese delle ulteriori informazioni che ci hanno fornito, abbiamo indagato sulla questione e identificato un affiliato che operava in violazione delle nostre politiche. Tale partner è stato rimosso dalla nostra rete.
Almedia non vende i dati degli utenti e prende molto sul serio la conformità, la fiducia degli utenti e la pubblicità responsabile.
Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.
I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.




