Safeguard, il noto servizio per la sicurezza delle transazioni nel mercato delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram, sta diventando bersaglio di truffatori informatici. Recentemente, alcuni cybercriminali hanno lanciato bot fraudolenti su Telegram con lo scopo di ingannare gli utenti, inducendoli a installare malware o a cedere l’accesso ai propri account.
Un’analisi ha evidenziato l’esistenza di un falso bot Safeguard che, una volta avviato, chiede all’utente di seguire tre passaggi di verifica. Tuttavia, dietro questa apparente misura di sicurezza si cela un attacco ben orchestrato: il bot esegue codice PowerShell, sfruttando una tecnica già utilizzata per diffondere il malware Lumma Stealer.
Il CERT-AGID ha identificato un dominio di recente registrazione, denominato safeguard-telegram, collegato a due bot attivi su Telegram. Questi bot convincono le vittime a scansionare un QR code per “abilitare l’accesso da un nuovo dispositivo”, concedendo in realtà ai criminali l’accesso al proprio account.
Il collegamento con lo smishing INPS
Gli esperti hanno scoperto che il dominio fraudolento espone pubblicamente alcune pagine contenenti informazioni di configurazione, tra cui il vero indirizzo IP del server che ospita il servizio di truffa. Secondo VirusTotal, questo IP è collegato ai domini inps[.]ec e inps[.]io, già identificati come parte di una campagna di smishing che mira al furto di credenziali e documenti d’identità.
Ulteriore conferma arriva visitando direttamente l’indirizzo IP, dove compare una pagina contraffatta con il logo INPS e link che rimandano tutti a un altro dominio sospetto, inps[.]st, anch’esso registrato di recente.
Conclusioni
L’attacco legato a Safeguard e la truffa INPS evidenziano una strategia ben congegnata da parte dei cybercriminali, che sfruttano contemporaneamente due tipologie di frodi per colpire le vittime. Da un lato, i bot fraudolenti su Telegram mirano a ottenere l’accesso agli account Telegram, dall’altro mirano al furto di documenti d’identità tramite campagne di smishing.
Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.
