This site uses cookies. By continuing to browse the site, you are agreeing to our use of cookies.
AcceptAccept Only EssentialsLearn morePotremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Google Fonts:
Impostazioni Google di Enfold:
Cerca impostazioni:
Vimeo and Youtube video embeds:
A “Safe Browsing Blocker” in a Phishing Kit: Technical Analysis and Why It Fails
PhishingIn February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named
ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g.,
fetch, XHR,sendBeacon) and adding a restrictive CSP that can break legitimate resources.This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.
Continua a leggereOlimpiadi Invernali 2026: mappatura degli attacchi cyber della settimana inaugurale
Cyber Threat IntelligenceIl 6 febbraio 2026 si sono ufficialmente aperte le Olimpiadi Invernali di Milano-Cortina.
Già dal 4 febbraio, tuttavia, diversi gruppi hacktivisti avevano iniziato a rivendicare attacchi contro siti istituzionali, infrastrutture pubbliche e organizzazioni italiane, utilizzando l’evento olimpico come leva mediatica.
In pochi giorni si è osservata una convergenza di attori con motivazioni geopolitiche differenti, accomunati da un hashtag ricorrente: #OpItaly.
Di seguito un riepilogo delle principali attività rilevate e monitorate.
Continua a leggereNFCShare Android Trojan: NFC card data theft via malicious APK
MalwareExecutive Summary
The D3Lab team analyzed an Android application distributed through a Deutsche Bank phishing campaign. Victims are prompted to enter their phone number, then instructed to “update” their banking app by downloading a malicious APK named
deutsche.apk. The APK presents itself as “Support Nexi” and guides the user through a fake “card verification” flow: bring the card near the phone, keep it close while “authenticating,” and enter the card PIN. Under the hood, the app reads NFC card data (ISO‑DEP) and exfiltrates it to a remote WebSocket endpoint.Based on consistent internal artifacts (package naming, classes, messages, and UI flow), we assign this new cluster the family name NFCShare.
Distribution: Deutsche Bank phishing flow
The infection chain starts with a bank‑themed phishing site mimicking Italian Deutsche Bank. The victim is asked for a mobile number and then told to update the bank app. The “update” is delivered as an APK (
deutsche.apk). After installation, the app claims to be “Support Nexi” and drives the user through a fake security verification designed to harvest NFC card data and the card PIN.Attenzione al nuovo portale fake di Fineco: la trappola scatta dopo il Captcha
PhishingNegli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.
Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.
Continua a leggereFinta promozione Conad: come funziona la nuova campagna di Scam che sfrutta i punti fedeltà
ScamNegli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato la diffusione di una campagna di Scam che sfrutta il brand Conad, una delle principali catene di supermercati italiane.
L’obiettivo dei criminali è ingannare gli utenti inducendoli a sottoscrivere inconsapevolmente un abbonamento a pagamento, mascherato da premio fedeltà.
È importante chiarirlo subito: Conad non è coinvolta nella frode ed è a sua volta una vittima dell’abuso del proprio marchio, esattamente come gli utenti che ricevono queste comunicazioni.
Scam e Phishing: due minacce diverse
Prima di analizzare la campagna nel dettaglio, è utile chiarire una distinzione fondamentale.
Nel phishing, i criminali cercano di rubare direttamente dati sensibili come password, credenziali di accesso o numeri di carta di credito, per poi utilizzarli in modo illecito.
In questo caso, invece, siamo di fronte a uno scam. Lo scam non punta al furto immediato delle credenziali, ma a convincere la vittima a pagare volontariamente, spesso attivando abbonamenti ricorrenti nascosti tra condizioni contrattuali poco visibili. Il pagamento avviene tramite circuiti reali e perfettamente funzionanti, rendendo la frode più difficile da individuare.
Continua a leggereInside BTMOB: An Analytical Breakdown of a Leaked Android RAT Ecosystem
MalwareDuring a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.
Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.
Continua a leggerePrima campagna di phishing ai danni di Klarna rilevata in Italia
PhishingVenerdì 21 novembre il team anti-frode D3Lab ha identificato la prima campagna di phishing in lingua italiana rivolta agli utenti Klarna. L’attacco viene veicolato tramite e-mail e riproduce una comunicazione che informa la vittima della sospensione di alcune funzionalità dell’account a causa di un presunto pagamento non più valido. Il messaggio invita l’utente a verificare la propria identità attraverso un accesso immediato al profilo.
Continua a leggereLa campagna di vishing continua: dal clone Poste alla finta email Google
PhishingA distanza di pochi giorni dalla precedente campagna che imitava comunicazioni di Poste Italiane e invitava gli utenti a contattare il numero 0686356057, i criminali tornano a colpire sfruttando esattamente lo stesso recapito telefonico. Cambia però il pretesto: questa volta l’email finge di provenire da Google e segnala una sospetta “nuova registrazione del dispositivo” sull’account Gmail della vittima.
Il contenuto dell’email
Il messaggio, costruito con uno stile che richiama i report tecnici generati automaticamente da sistemi CRM, include una serie di dati apparentemente plausibili come il modello del dispositivo, la versione di iOS, l’IMEI e la geolocalizzazione dell’indirizzo IP. Gli attori della minaccia sfruttano queste informazioni per generare un senso di urgenza e convincere l’utente a contattare immediatamente il numero indicato. È lo stesso impianto psicologico osservato nella precedente campagna: nessun link malevolo, nessun allegato, soltanto un invito a telefonare a un numero gestito dal gruppo criminale.
Continua a leggereNuova frode ai danni di Poste Italiane: email senza link, solo un numero da contattare!
PhishingNegli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato una nuova campagna di phishing rivolta agli utenti di Poste Italiane che si distingue per una caratteristica insolita: l’assenza totale di link all’interno dell’email. Il messaggio invita invece il destinatario a contattare un numero telefonico italiano per verificare la propria identità, una tecnica che unisce elementi tipici del phishing e del vishing e rende la frode particolarmente difficile da intercettare dai sistemi automatici di protezione.
Il contenuto dell’email
L’email si presenta come un avviso di sicurezza e riporta un presunto tentativo di accesso anomalo da un indirizzo IP estero, indicato come proveniente da Hong Kong. Per rassicurare il destinatario e convincerlo ad agire con urgenza, il messaggio sostiene che alcune funzionalità dell’account siano state temporaneamente limitate a scopo precauzionale. Viene quindi richiesto di chiamare il numero 06 8635 6057 per confermare la propria identità e ripristinare l’accesso.
Continua a leggereGPT Trade: Fake Google Play Store drops BTMob Spyware and UASecurity Miner on Android Devices
MalwareDuring D3Lab’s continuous monitoring of newly registered domains through our Brand Monitor service, we identified a domain crafted to impersonate the Google Play Store.
The site advertises a supposed application called “GPT Trade”, presented as an AI-powered trading assistant and visually styled to resemble official ChatGPT / OpenAI branding. Unsuspecting users are encouraged to download an APK directly from the page:
https://playgoogle-gpttrade[.]com/GPT%20Trade.apkOur investigation revealed that GPT Trade is not a legitimate application, but a sophisticated Android dropper engineered to generate, prepare, and install multiple secondary malware payloads, including:
The overall structure of the attack shows a modern, modular approach where threat actors rely on packer-as-a-service platforms, Telegram bots, and impersonation techniques to distribute malware effectively.
Continua a leggere