W zeszłym tygodniu rozmawialiśmy o aplikacji, która obiecuje użytkownikom możliwość zarabiania pieniędzy poprzez testowanie gier lub nawet po prostu przeglądanie TikToka.
Wyobraź sobie nasze zdziwienie, gdy podczas badania phishingu związanego z „przechowywaniem w chmurze” trafiliśmy na stronę promującą tę samą aplikację Freecash. Pewnie wszyscy widzieliśmy coś takiego. Są one dość powszechne, a według ostatnich badań przeprowadzonych przez BleepingComputer, istnieje
„Kampania oszustwa związanego z subskrypcją pamięci masowej w chmurze na dużą skalę, skierowana do użytkowników na całym świecie, polegająca na wysyłaniu powtarzających się wiadomości e-mail z fałszywymi ostrzeżeniami, że zdjęcia, pliki i konta odbiorców zostaną zablokowane lub usunięte z powodu rzekomej niepowodzenia płatności”.
Na podstawie opisu zawartego w tym artykule wydaje się, że znaleziony przez nas e-mail jest częścią tej kampanii.
Temat wiadomości e-mail brzmi:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
To pasuje do jednego z tematów wymienionych przez BleepingComputer.
A treść wiadomości e-mail:
„Problem z płatnością – przechowywanie w chmurze
Drogi Użytkowniku,
Podczas próby odnowienia subskrypcji usługi Cloud Storage wystąpił problem.
Niestety, Twoja metoda płatności straciła ważność. Aby zapewnić nieprzerwane działanie usługi Cloud, zaktualizuj dane dotyczące płatności.
Numer subskrypcji: 9371188
Produkt: Cloud Storage Premium
Data wygaśnięcia: sobota, 24 stycznia 2026 r.
Jeśli nie zaktualizujesz informacji dotyczących płatności, możesz utracić dostęp do usługi Cloud Storage, co może uniemożliwić Ci zapisywanie i synchronizowanie danych, takich jak zdjęcia, filmy i dokumenty.
Zaktualizuj dane dotyczące płatności {przycisk linku}
Zalecenia dotyczące bezpieczeństwa:
- Zawsze korzystaj z konta poprzez naszą oficjalną stronę internetową.
- Nigdy nie udostępniaj nikomu swojego hasła.
- Upewnij się, że Twoje dane kontaktowe i rozliczeniowe są aktualne.
Link w wiadomości e-mail prowadzi do https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, co pomaga oszustowi zdobyć pewną dozę zaufania, ponieważ odsyła do Google Cloud Storage (GCS). GCS to legalna usługa, która umożliwia autoryzowanym użytkownikom przechowywanie danych, takich jak pliki, obrazy i filmy, w zasobnikach oraz zarządzanie nimi. Jednak, tak jak w tym przypadku, osoby atakujące mogą ją wykorzystać do phishingu.
Przekierowanie przenosi pewne parametry do następnej strony internetowej.
The feed.headquartoonjpn[.]com Domena została zablokowana przez Malwarebytes. Widzieliśmy to już wcześniej w ramach wcześniejszej kampanii dotyczącej phishingu związanego z Endurance.
Po kilku kolejnych przekierowaniach trafiliśmy na stronę hx5.submitloading[.]com, gdzie fałszywy CAPTCHA spowodował ostatnie przekierowanie do freecash[.]com, gdy tylko zostało rozwiązane.
Ostateczny cel tego phishingu prawdopodobnie zależy od parametrów przekazywanych podczas przekierowań, więc wyniki mogą się różnić.
Zamiast bezpośrednio wykradać dane uwierzytelniające, kampania wydaje się mieć na celu monetyzację ruchu, kierując ofiary do ofert partnerskich, w ramach których operatorzy otrzymują wynagrodzenie za rejestracje lub konwersje.
BleepingComputer zauważył, że użytkownicy byli przekierowywani do stron partnerskich zajmujących się marketingiem różnych produktów.
„Produkty promowane w tej kampanii phishingowej obejmują VPN , mało znane oprogramowanie zabezpieczające oraz inne oferty oparte na subskrypcji, które nie mają żadnego związku z przechowywaniem danych w chmurze”.
Jak zachować bezpieczeństwo
Jak na ironię, sama wiadomość phishingowa zawiera kilka trafnych rad:
- Zawsze loguj się na swoje konto przez naszą oficjalną stronę internetową.
- Nigdy nie udostępniaj nikomu swojego hasła.
Chcielibyśmy dodać:
- Nigdy nie klikaj linków w niechcianych wiadomościach e-mail bez sprawdzenia ich w zaufanym źródle.
- Korzystaj z aktualnego rozwiązania antywirusowego działającego w czasie rzeczywistym, wyposażonego w komponent ochrony sieciowej.
- Nie korzystaj z witryn internetowych, które przyciągają odwiedzających w ten sposób.
Wskazówka dla profesjonalistów: Malwarebytes Guard pomógłby Ci zidentyfikować tę wiadomość e-mail jako oszustwo i udzieliłby porad dotyczących dalszego postępowania.
Przekierowanie przepływu (IOC)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Aktualizacja z dnia 5 lutego 2026 r.
Firma Almedia GmbH, twórca platformy Freecash, zwróciła się do nas z prośbą o informacje na temat łańcucha przekierowań prowadzących do ich platformy. Po przeprowadzeniu dochodzenia poinformowała nas, że:
„W związku z raportem Malwarebytesi dodatkowymi informacjami, które nam przekazali, zbadaliśmy tę sprawę i zidentyfikowaliśmy partnera działającego z naruszeniem naszych zasad. Partner ten został usunięty z naszej sieci.
Almedia nie sprzedaje danych użytkowników i poważnie traktuje kwestie zgodności z przepisami, zaufania użytkowników oraz odpowiedzialnej reklamy.
Nie tylko informujemy o oszustwach - pomagamy je wykrywać
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.
