L'usurpazione di identità dei marchi tramite intelligenza artificiale prende di mira gli account aziendali di Meta attraverso app mobili dannose

1° giugno 2026

Di Samantha Clarke, Archa Archa, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast

Panoramica della campagna

Il team Mimecast Threat Research sta monitorando una campagna di phishing che sfrutta la popolarità delle piattaforme di intelligenza artificiale per diffondere applicazioni mobili dannose. Questa campagna si spaccia per marchi affidabili, in particolare Google Gemini e OpenAI/ChatGPT, al fine di indurre gli utenti aziendali a scaricare app fraudolente dall’App Store di Apple.

L'attacco ha inizio con e-mail di phishing che utilizzano oggetti del tipo: “ "”, “Google Gemini LLC vi ha invitato a provare Google Gemini Advertising" ” o “ "”, “ChatGPT vi ha invitato a provare OpenAI Advertising." ” Questi messaggi si presentano come inviti esclusivi a testare nuovi prodotti pubblicitari basati sull’intelligenza artificiale, rivolti in particolare a imprenditori e professionisti del marketing che gestiscono campagne pubblicitarie sui social media.

Attribuzione alle operazioni di trading su conti vietnamiti

Mimecast ha individuato chiari indizi che collegano questa campagna ad attori malintenzionati vietnamiti specializzati nel commercio di account Meta Business Manager. Tali campagne si inseriscono in una tendenza più ampia che vede operazioni con base in Vietnam impegnate nell’acquisizione di account aziendali Meta compromessi a scopo di rivendita o sfruttamento. L'ecosistema del trading tramite conti vietnamiti opera attraverso diversi canali.

Mercati clandestini: gli account Meta Business Manager compromessi, dotati di metodi di pagamento attivi, raggiungono prezzi elevati sui forum in lingua vietnamita e sui canali di messaggistica crittografati. Gli account con una storia consolidata di spesa pubblicitaria e limiti di spesa più elevati sono particolarmente preziosi.
Ad esempio, VIA17 è una piattaforma vietnamita di compravendita di account, liberamente accessibile, che sembra commercializzare l’accesso agli account social e i relativi servizi di gestione degli account. Non si tratta semplicemente di un venditore isolato, bensì di una vetrina rappresentativa di un’economia più ampia di servizi legati alla criminalità informatica con collegamenti al Vietnam, che sostiene operazioni fraudolente a valle, tra cui l’uso improprio degli account pubblicitari di Facebook.

 

Reti di frodi pubblicitarie: gli autori di attacchi vietnamiti utilizzano account compromessi per lanciare campagne pubblicitarie non autorizzate, spesso promuovendo prodotti o servizi fraudolenti e addebitando i costi al legittimo titolare dell’account. Tale attività genera ricavi, mentre l’account compromesso ne sostiene i costi.

Operazioni di “account farming”: Alcuni soggetti si specializzano nell’accumulo di grandi quantità di account compromessi, che vengono poi affittati o venduti ad altri autori di minacce per vari scopi malevoli, tra cui campagne di phishing successive, usurpazione dell’identità di marchi e frodi finanziarie.
La scelta di distribuire app dannose attraverso canali legittimi come l’App Store di Apple rappresenta un’evoluzione mirata delle tattiche. Avvalendosi di piattaforme di distribuzione affidabili, questi autori di minacce aumentano notevolmente la loro percentuale di successo, apparendo al contempo più credibili agli occhi delle potenziali vittime.

Flusso della campagna

1. Primo contatto: i destinatari ricevono e-mail che si spacciano per Google Gemini o OpenAI, nelle quali viene offerto l’accesso a una versione di prova di nuovi strumenti di gestione pubblicitaria
2. Installazione dell'app: gli utenti vengono invitati a scaricare dall'App Store di Apple un'applicazione simile ad " "" e "Ads Manager""
3. Raccolta di credenziali: all’avvio , l’app presenta un’interfaccia di accesso a Facebook/Meta anziché lo strumento pubblicitario basato sull’intelligenza artificiale pubblicizzato.
4. Esfiltrazione dei dati: le credenziali di accesso e, potenzialmente, i token di sessione vengono trasmessi a un’infrastruttura controllata dall’autore dell’attacco
5. Appropriazione indebita dell'account: gli autori degli attacchi ottengono l'accesso a Facebook Business Manager, agli account pubblicitari e ai metodi di pagamento

La vera minaccia

Una volta installate, queste app si discostano completamente dallo scopo per cui sono state pubblicizzate. Anziché fornire strumenti pubblicitari basati sull’intelligenza artificiale, offrono agli utenti un’esperienza di accesso tramite Facebook/Meta, solitamente implementata tramite contenuti web incorporati.

Questa interfaccia ingannevole acquisisce nomi utente, password e dati potenzialmente correlati alla sessione, che vengono poi trasferiti verso server controllati dagli autori dell'attacco. Le credenziali sottratte consentono agli autori degli attacchi di accedere agli account Facebook personali delle vittime e, cosa ancora più grave, alle loro risorse su Business Manager. Tale accesso consente agli autori delle minacce di:

• Realizzare campagne pubblicitarie non autorizzate
• Sottrarre i budget pubblicitari
• Modificare i metodi di pagamento
• Accedete alle pagine aziendali affidabili per individuare eventuali truffe successive
• Rivendere account compromessi sui mercati clandestini

Le recensioni degli utenti sull’App Store confermano la natura dannosa di queste applicazioni; gli utenti segnalano infatti casi di furto di dati e di accesso non autorizzato agli account. Nonostante questi avvertimenti, le app sono rimaste disponibili attraverso canali di distribuzione legittimi, conferendo una falsa credibilità alla campagna.

Caratteristiche della campagna

Gli autori di questa campagna dimostrano una notevole sofisticazione operativa attraverso diverse tattiche chiave.

Sfruttamento del marchio: spacciandosi per piattaforme di intelligenza artificiale di grande rilievo che attualmente suscitano un notevole interesse commerciale, gli autori degli attacchi approfittano della propensione delle organizzazioni a esplorare le tecnologie pubblicitarie emergenti.

Distribuzione legittima: la presenza di app dannose sull’App Store ufficiale di Apple conferisce loro un’aura di legittimità in grado di eludere i sospetti degli utenti. Molti utenti si fidano delle app distribuite tramite canali ufficiali senza effettuare ulteriori verifiche.

Destinatari: La campagna si rivolge specificatamente agli utenti aziendali che dispongono di budget pubblicitari e dati di pagamento, massimizzando così il potenziale impatto finanziario.

Infrastruttura usa e getta: l’utilizzo di account di sviluppatori apparentemente single-use (quali "– Uygar Dana," e "– Bertan Kana,") suggerisce che gli autori delle minacce prevedano di essere individuati e abbiano integrato la natura usa e getta nel proprio modello operativo.

Indicatori di compromissione (IOC)

Elenco delle app dannose presenti nell’App Store

Account di sviluppatori sospetti

Temi comuni

• Oggetti delle e-mail che fanno riferimento a ", Google Gemini LLC" o ", ChatGPT" e inviti
• Comunicazioni relative ai test "pubblicità" o "attività" prodotti
• Convenzioni di denominazione delle app che combinano i nomi delle piattaforme di intelligenza artificiale con la terminologia pubblicitaria (ad esempio, "Ads GPT," " GeminiAI Advertising")

Obiettivi

Aree principali: Stati Uniti, Regno Unito, Australia

Settori interessati: numerosi, ma con livelli notevolmente più elevati nei settori della vendita al dettaglio e dei viaggi, in quello ospedaliero e in quello della ristorazione.

Profilo di riferimento: professionisti del marketing e social media manager che potrebbero disporre di diritti di accesso amministrativi a Meta Business Manager, agli account pubblicitari e ai metodi di pagamento.

Raccomandazioni

Formazione sulla sensibilizzazione alla sicurezza degli utenti

• Informare i dipendenti sulle caratteristiche specifiche di queste campagne
• Si raccomanda di istruire i dipendenti a verificare l’autenticità degli inviti non richiesti, in particolare quelli che richiedono l’installazione di app
• Insegnate agli utenti a controllare le recensioni e le valutazioni presenti nell’app store prima di scaricare qualsiasi applicazione, in particolare quelle che richiedono credenziali di accesso
• Condurre esercitazioni simulate di phishing che prevedano scenari di usurpazione dell’identità del marchio tramite l’intelligenza artificiale, al fine di verificare il livello di preparazione dell’organizzazione
• Sottolinei che le aziende legittime raramente concedono l’accesso a prodotti in versione beta tramite e-mail non richieste

Ricerca proattiva delle minacce

• Effettuare una ricerca nei registri delle ricevute e-mail utilizzando gli indicatori (IOC) elencati

Questa campagna mette in luce come gli autori delle minacce continuino a sfruttare l’interesse delle organizzazioni per le tecnologie emergenti, alimentando al contempo una sofisticata economia sommersa. L'ecosistema del trading di account vietnamiti rappresenta una minaccia costante per le organizzazioni che gestiscono i budget pubblicitari sui social media. Combinando l’usurpazione dell’identità di marchi affidabili con canali di distribuzione legittimi, gli autori degli attacchi creano scenari di ingegneria sociale molto convincenti, in grado di eludere le tradizionali misure di sensibilizzazione alla sicurezza.