Negli ultimi giorni i Threat Intelligence Team di D3Lab hanno rilevato diverse campagne di phishing che sfruttano illecitamente il brand EasyPark, nota applicazione per il pagamento e la gestione della sosta tramite smartphone, disponibile in oltre 20 Paesi.
Le campagne non colpiscono l’infrastruttura del servizio, ma utilizzano il marchio EasyPark per truffare gli utenti, inducendoli a fornire dati di pagamento e informazioni personali sensibili.
Continua a leggere
Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.
Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.
Continua a leggere
In February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.
Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g., fetch, XHR, sendBeacon) and adding a restrictive CSP that can break legitimate resources.
This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.
Continua a leggere
Negli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.
Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.
Continua a leggere
During a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.
Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.
Continua a leggere
Venerdì 21 novembre il team anti-frode D3Lab ha identificato la prima campagna di phishing in lingua italiana rivolta agli utenti Klarna. L’attacco viene veicolato tramite e-mail e riproduce una comunicazione che informa la vittima della sospensione di alcune funzionalità dell’account a causa di un presunto pagamento non più valido. Il messaggio invita l’utente a verificare la propria identità attraverso un accesso immediato al profilo.
Continua a leggere
A distanza di pochi giorni dalla precedente campagna che imitava comunicazioni di Poste Italiane e invitava gli utenti a contattare il numero 0686356057, i criminali tornano a colpire sfruttando esattamente lo stesso recapito telefonico. Cambia però il pretesto: questa volta l’email finge di provenire da Google e segnala una sospetta “nuova registrazione del dispositivo” sull’account Gmail della vittima.
Il messaggio, costruito con uno stile che richiama i report tecnici generati automaticamente da sistemi CRM, include una serie di dati apparentemente plausibili come il modello del dispositivo, la versione di iOS, l’IMEI e la geolocalizzazione dell’indirizzo IP. Gli attori della minaccia sfruttano queste informazioni per generare un senso di urgenza e convincere l’utente a contattare immediatamente il numero indicato. È lo stesso impianto psicologico osservato nella precedente campagna: nessun link malevolo, nessun allegato, soltanto un invito a telefonare a un numero gestito dal gruppo criminale.
Continua a leggere
Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato una nuova campagna di phishing rivolta agli utenti di Poste Italiane che si distingue per una caratteristica insolita: l’assenza totale di link all’interno dell’email. Il messaggio invita invece il destinatario a contattare un numero telefonico italiano per verificare la propria identità, una tecnica che unisce elementi tipici del phishing e del vishing e rende la frode particolarmente difficile da intercettare dai sistemi automatici di protezione.
L’email si presenta come un avviso di sicurezza e riporta un presunto tentativo di accesso anomalo da un indirizzo IP estero, indicato come proveniente da Hong Kong. Per rassicurare il destinatario e convincerlo ad agire con urgenza, il messaggio sostiene che alcune funzionalità dell’account siano state temporaneamente limitate a scopo precauzionale. Viene quindi richiesto di chiamare il numero 06 8635 6057 per confermare la propria identità e ripristinare l’accesso.
Continua a leggere
Negli ultimi giorni il team di Cyber Threat Intelligence di D3Lab ha intercettato una campagna di phishing ai danni di Facebook Business che si distingue per una caratteristica particolarmente insidiosa: l’utilizzo dell’infrastruttura di Salesforce, uno dei principali CRM a livello mondiale, come canale di invio delle email fraudolente.
L’email analizzata arriva da un indirizzo del tutto legittimo, [email protected], e supera i controlli SPF senza problemi. Non siamo quindi davanti a un classico caso di spoofing, bensì a un abuso consapevole delle funzionalità offerte dalla piattaforma. I criminali, infatti, registrano un account su Salesforce approfittando della demo gratuita e sfruttano questo accesso per inviare messaggi fraudolenti che appaiono tecnicamente autentici e quindi difficili da bloccare con i filtri antispam tradizionali.
Il testo della comunicazione simula una notifica legale proveniente da Sony Music Italy tramite lo studio Legance – Avvocati Associati, sostenendo che i contenuti musicali protetti da copyright sarebbero stati condivisi senza autorizzazione sulle pagine Facebook del destinatario. Per aumentare la pressione psicologica viene fornito un numero di caso fittizio e si prospettano possibili conseguenze legali. All’interno del messaggio è presente un link che sembra appartenere a business.facebook.com, ma che in realtà reindirizza verso un dominio esterno creato Ad-Hoc dai criminali (metahelp-support[.]com).
Continua a leggere
Il team di Cyber Threat Intelligence di D3Lab ha rilevato una nuova e insidiosa campagna di phishing via SMS (smishing) che sfrutta il nome dell’Agenzia delle Entrate per indurre gli utenti a fornire dati personali e, soprattutto, le credenziali di accesso ai propri wallet di criptovalute.
Gli utenti ricevono un SMS con il seguente testo:
“Abbiamo rilevato valute virtuali a Lei riconducibili. La normativa vigente ne impone la dichiarazione entro il 30/09/2025 agenziaentrate-dichiarazione[.]com”
Il link contenuto nel messaggio rimanda a un dominio recentemente registrato (agenziaentrate-dichiarazione[.]com), non riconducibile all’Agenzia delle Entrate, ma gestito da attori criminali.
Continua a leggere