Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.

Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.

Continua a leggere

In February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.

Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g., fetch, XHR, sendBeacon) and adding a restrictive CSP that can break legitimate resources.

This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.

Continua a leggere

Il 6 febbraio 2026 si sono ufficialmente aperte le Olimpiadi Invernali di Milano-Cortina.

Già dal 4 febbraio, tuttavia, diversi gruppi hacktivisti avevano iniziato a rivendicare attacchi contro siti istituzionali, infrastrutture pubbliche e organizzazioni italiane, utilizzando l’evento olimpico come leva mediatica.

In pochi giorni si è osservata una convergenza di attori con motivazioni geopolitiche differenti, accomunati da un hashtag ricorrente: #OpItaly.

Di seguito un riepilogo delle principali attività rilevate e monitorate.

Continua a leggere

Executive Summary

The D3Lab team analyzed an Android application distributed through a Deutsche Bank phishing campaign. Victims are prompted to enter their phone number, then instructed to “update” their banking app by downloading a malicious APK named deutsche.apk. The APK presents itself as “Support Nexi” and guides the user through a fake “card verification” flow: bring the card near the phone, keep it close while “authenticating,” and enter the card PIN. Under the hood, the app reads NFC card data (ISO‑DEP) and exfiltrates it to a remote WebSocket endpoint.

Based on consistent internal artifacts (package naming, classes, messages, and UI flow), we assign this new cluster the family name NFCShare.

Distribution: Deutsche Bank phishing flow

The infection chain starts with a bank‑themed phishing site mimicking Italian Deutsche Bank. The victim is asked for a mobile number and then told to update the bank app. The “update” is delivered as an APK (deutsche.apk). After installation, the app claims to be “Support Nexi” and drives the user through a fake security verification designed to harvest NFC card data and the card PIN.

Continua a leggere

Negli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.

Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.

Continua a leggere

Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato la diffusione di una campagna di Scam che sfrutta il brand Conad, una delle principali catene di supermercati italiane.
L’obiettivo dei criminali è ingannare gli utenti inducendoli a sottoscrivere inconsapevolmente un abbonamento a pagamento, mascherato da premio fedeltà.

È importante chiarirlo subito: Conad non è coinvolta nella frode ed è a sua volta una vittima dell’abuso del proprio marchio, esattamente come gli utenti che ricevono queste comunicazioni.

Scam e Phishing: due minacce diverse

Prima di analizzare la campagna nel dettaglio, è utile chiarire una distinzione fondamentale.

Nel phishing, i criminali cercano di rubare direttamente dati sensibili come password, credenziali di accesso o numeri di carta di credito, per poi utilizzarli in modo illecito.

In questo caso, invece, siamo di fronte a uno scam. Lo scam non punta al furto immediato delle credenziali, ma a convincere la vittima a pagare volontariamente, spesso attivando abbonamenti ricorrenti nascosti tra condizioni contrattuali poco visibili. Il pagamento avviene tramite circuiti reali e perfettamente funzionanti, rendendo la frode più difficile da individuare.

Continua a leggere

During a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.

Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.

Continua a leggere

A distanza di pochi giorni dalla precedente campagna che imitava comunicazioni di Poste Italiane e invitava gli utenti a contattare il numero 0686356057, i criminali tornano a colpire sfruttando esattamente lo stesso recapito telefonico. Cambia però il pretesto: questa volta l’email finge di provenire da Google e segnala una sospetta “nuova registrazione del dispositivo” sull’account Gmail della vittima.

Il contenuto dell’email

Il messaggio, costruito con uno stile che richiama i report tecnici generati automaticamente da sistemi CRM, include una serie di dati apparentemente plausibili come il modello del dispositivo, la versione di iOS, l’IMEI e la geolocalizzazione dell’indirizzo IP. Gli attori della minaccia sfruttano queste informazioni per generare un senso di urgenza e convincere l’utente a contattare immediatamente il numero indicato. È lo stesso impianto psicologico osservato nella precedente campagna: nessun link malevolo, nessun allegato, soltanto un invito a telefonare a un numero gestito dal gruppo criminale.

Continua a leggere
Email Phishing Poste Italiane con Numero di Telefono

Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato una nuova campagna di phishing rivolta agli utenti di Poste Italiane che si distingue per una caratteristica insolita: l’assenza totale di link all’interno dell’email. Il messaggio invita invece il destinatario a contattare un numero telefonico italiano per verificare la propria identità, una tecnica che unisce elementi tipici del phishing e del vishing e rende la frode particolarmente difficile da intercettare dai sistemi automatici di protezione.

Il contenuto dell’email

L’email si presenta come un avviso di sicurezza e riporta un presunto tentativo di accesso anomalo da un indirizzo IP estero, indicato come proveniente da Hong Kong. Per rassicurare il destinatario e convincerlo ad agire con urgenza, il messaggio sostiene che alcune funzionalità dell’account siano state temporaneamente limitate a scopo precauzionale. Viene quindi richiesto di chiamare il numero 06 8635 6057 per confermare la propria identità e ripristinare l’accesso.

Continua a leggere