Sei stato uno dei dieci fortunati vincitori di un Samsung Galaxy S10 spedito da Poste Italiane a soli 1,95euro? Bhe sappi che è una operazione di scam e con buona probabilità non riceverai alcun regalo!

Lo scam è un tentativo di truffa pianificata con metodi di ingegneria sociale. In genere avviene inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare. Spesso scam e spam sono strettamente correlati. Lo scam può riferirsi anche a un tentativo di furto di dati informatici sensibili, come password da parte di malintenzionati, al fine di sottrarre o trasferire indebitamente somme di denaro da conti on line. {Wikipedia}

Il sito internet creato Ad Hoc per veicolare questa campagna di scam mostra in home page la dicitura “Congratulationi! Sei uno dei 10 fortunati utenti che abbiamo selezionato per avere l’opportunità di vincere un Samsung Galaxy S10.” e in aggiunta è presente una sezione di commenti di altri utenti che confermano di aver ricevuto il telefono proprio nei giorni antecedenti.

Continua a leggere

Phishing ai danni della Banca Popolare di Sondrio

Da martedì 9 Aprile è in corso una importante campagna di Phishing ai danni della Banca Popolare di Sondrio, data l’importante mole di eMail rilevate nei confronti di questo istituto mercoledì abbiamo dato risalto dell’attività tramite i profili ufficiali di D3Lab nei Social Network.

Ad oggi la campagna di Phishing sta proseguendo con l’invio di un massiccio numero di eMail. Il messaggio inviato alla probabile vittima è molto semplice: lo avvisa che la password del proprio Home Banking è scaduta e lo invita ad accedere al sito per completare il login.

Continua a leggere

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere

Blackmail emails are storming internet users since last october, when the phenomenon started and acquired space in all information media.

The biggest power of this kind of attack is to fool the receiver leading him to believe that the message came from it’s own email box, that it’s been compromised.

In the first time emails body was composed in simple text.

Continua a leggere

Yesterday we received a phishing email targeting Apple Store users.

The email, writed in english, hasked for a payment for a movie pre-order. The email body’s html was hidding a phishing url under “Review and cancel here”.

Continua a leggere

inserimento dati anagrafici

Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.

L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce

tweet illegalFawn

Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.

Continua a leggere

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere

Google & Office 365 phishing business victims

Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…

Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.

Possiamo quindi esaminare due scenari.

Continua a leggere

Oggi 12 Febbraio 2019 attraverso la nostra Spam Trap abbiamo rilevato quattro importanti campagne di diffusione Malware che mediante le eMail veicolano la minaccia utilizzando quattro sostanziali motivazioni:

  1. Avviso di una spedizione del corriere DHL;
  2. Mappa aggiornata delle uscite di emergenza;
  3. Fattura sospesa;
  4. Invio della fattura.

Le quattro campagne non hanno in apparenza alcun collegamento tra loro, si ipotizza pertanto che siano ad opera di team criminali differenti.

Continua a leggere