1Campaign è la nuova piattaforma di cloaking individuata da Varonis Threat Labs che consente agli attaccanti di eludere i controlli di Google Ads, filtrare ricercatori di sicurezza e mantenere attive campagne phishing e crypto drainer con percentuali di blocco superiori al 99%. Non si tratta di uno script isolato ma di un sistema completo, operativo da oltre tre anni, sviluppato da un attore noto come DuppyMeister, con supporto e aggiornamenti distribuiti tramite canali Telegram dedicati. La piattaforma integra in un’unica dashboard filtraggio visitatori in tempo reale, scoring frodi da 0 a 100, targeting geografico avanzato e launcher Google Ads progettato per bypassare le policy pubblicitarie. L’obiettivo è semplice: far vedere contenuti benigni a Google e ai vendor di sicurezza, mostrando invece pagine phishing o crypto drainer alle vittime reali.
Cosa fa 1Campaign e perché è diverso dal cloaking tradizionale
1Campaign opera come un cloaker multilayer che distingue tra visitatori legittimi e infrastrutture di analisi. I revisori pubblicitari, gli scanner automatizzati e i ricercatori di sicurezza ricevono pagine “white” innocue. Le vittime target, invece, vengono reindirizzate a pagine phishing operative. La differenza rispetto ai sistemi di cloaking base è l’integrazione di analytics real time, profilazione dettagliata e scoring comportamentale dinamico. Screenshot analizzati da Varonis mostrano dashboard con 4.300 visitatori e il 99,2% bloccati. In una campagna specifica denominata Blockbyblockchain, il dominio bitcoinhorizon.pro ha processato 1.676 visitatori, approvandone solo 10, con un blocco del 99,4%.
Il sistema assegna uno score frodi da 0 a 100, flaggando traffico proveniente da provider come Microsoft, Google, Tencent Cloud Computing e OVH Hosting. Anche con score bassi, alcuni accessi vengono bloccati se identificati come potenziali scanner o ambienti cloud riconducibili a vendor di sicurezza. 1Campaign utilizza fingerprint multilivello che analizza IP range, ASN, ISP, user-agent, presenza JavaScript, tempi di caricamento e pattern comportamentali. Page load troppo rapidi, browser headless o interazioni incoerenti vengono automaticamente esclusi. Questo rende inefficaci le tradizionali scansioni statiche degli URL.
Filtraggio visitatori e scoring frodi avanzato
Il cuore tecnico di 1Campaign è il motore di filtraggio. La piattaforma mantiene log dettagliati con indirizzo IP, geolocalizzazione, ISP, tipo di dispositivo, score frodi, azione intrapresa e URL di destinazione. Il sistema blocca data center noti, nodi VPN exit e provider di sicurezza tramite riconoscimento ASN.
Nel caso documentato da Varonis, traffico proveniente da operatori come Level 3 Communications o GSL Networks ha ricevuto score 100 ed è stato immediatamente escluso. Anche ambienti identificati come scanner automatizzati vengono filtrati indipendentemente dallo score numerico. Questa architettura permette agli attaccanti di mantenere campagne Google Ads attive per periodi estesi, intercettando vittime prima che intervengano flag manuali o sospensioni automatiche. La piattaforma include inoltre un generatore di script bot guard per proteggere le infrastrutture phishing downstream.
Targeting geografico e segmentazione device
Un elemento chiave di 1Campaign è il targeting selettivo. Gli operatori possono restringere le campagne a specifici Paesi e filtrare regioni con elevata presenza di ricercatori sicurezza. Le distribuzioni osservate includono Stati Uniti, Paesi Bassi, Canada, Cina, Germania, Francia, Ungheria, Albania e Giappone. Il sistema segmenta anche per desktop e mobile, consentendo agli attaccanti di ottimizzare landing page e crypto drainer per dispositivi specifici.
Questo doppio livello di targeting – geografico e device-based – massimizza il tasso di conversione malevola e riduce il rumore generato da traffico non utile. L’uso di database IP aggiornati e filtri dinamici consente alla piattaforma di adattarsi rapidamente ai cambiamenti nei pattern di geolocalizzazione, aumentando la resilienza contro i tentativi di analisi.
Launcher Google Ads e abuso pubblicitario scalabile
Uno degli aspetti più critici è il launcher Google Ads integrato. Secondo Varonis, il sistema permette di creare campagne “black” e “white”, con la capacità dichiarata di bypassare policy e impersonare brand legittimi nei testi degli annunci. La combinazione tra cloaking e gestione diretta delle campagne pubblicitarie crea una convergenza pericolosa tra ad fraud e protezione infrastrutture phishing. Gli attaccanti acquistano inserzioni legittime, superano la review iniziale mostrando contenuti benigni ai controlli automatizzati e poi reindirizzano selettivamente le vittime reali.
Questo approccio prolunga la vita delle campagne malevole fino alla segnalazione da parte delle vittime o all’intervento manuale. La piattaforma integra analytics pubblicitari che consentono di monitorare performance e ottimizzare i testi per aumentare la conversione fraudolenta.
Trend dei toolkit feature-packed e convergenza con AI cloaking
Varonis colloca 1Campaign in un trend più ampio di toolkit feature-packed che semplificano operazioni su larga scala anche per attori con competenze tecniche limitate. Piattaforme come Spiderman, FishXProxy e servizi di cloaking AI-powered mostrano una progressiva integrazione tra malvertising e protezione infrastrutturale. La differenza di 1Campaign è il focus diretto sull’abuso di Google Ads e l’integrazione nativa di scoring, targeting e launcher in un unico dashboard intuitivo. Questo abbassa la barriera di ingresso per nuovi attaccanti e aumenta la scalabilità delle operazioni phishing e crypto drainer.
Implicazioni per i difensori e limiti della detection tradizionale
Il modello adottato da 1Campaign mina l’affidabilità delle analisi statiche. Scanner URL, crawler automatizzati e sistemi di brand protection vengono esclusi prima di visualizzare contenuti malevoli. Con percentuali di blocco superiori al 99%, le tradizionali tecniche di rilevamento risultano insufficienti. Varonis propone un approccio basato su emulazione comportamentale realistica, capace di simulare percorsi utente completi, superare form, CAPTCHA e autenticazioni intermedie. Questo tipo di analisi dinamica consente di visualizzare ciò che 1Campaign tenta di nascondere. La piattaforma rappresenta un’evoluzione significativa nel panorama del malvertising: integra cloaking avanzato, scoring multilivello, targeting selettivo e gestione pubblicitaria diretta. Per i difensori, il messaggio è chiaro: senza strumenti di emulazione avanzata e threat hunting proattivo, il contenuto malevolo resterà invisibile fino al danno avvenuto.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
