Il CERT-AgID ha lanciato un avviso su una nuova campagna di smishing rivolta contro l’INPS, mirata a sottrarre dati delle carte di credito e informazioni personali come nome, cognome e codice fiscale delle vittime. Le tecniche utilizzate (TTP) sono ben strutturate e degne di nota per l’utilizzo di un bot Telegram come centro di comando e controllo (C2), una tattica solitamente associata a operazioni di malware più sofisticate.

Secondo la segnalazione di un utente noto come fr0$t, le vittime ricevono un SMS ingannevole che riporta il seguente testo: “Per procedere con l’erogazione di €930,00 sul suo Conto, si richiede verifica anagrafica del beneficiario.”

Lo short URL presente nel messaggio punta a un indirizzo fraudolento progettato per imitare il portale dell’INPS. Il sito verifica se il visitatore utilizza un proxy: se viene rilevato un proxy, l’utente viene identificato come BOT e registrato come tale, mentre se non è presente, viene considerato un utente reale e reindirizzato a una pagina specifica, configurata in base alla lingua dell’utente (langview). Dopo un primo form in cui sono richieste le generalità di base, viene caricata una seconda pagina il cui scopo è il furto dei dati della carta di credito inseriti.

I truffatori, inoltre, tentano di bypassare l’autenticazione a due fattori (2FA) richiedendo anche il codice di verifica ricevuto dalla banca via SMS e successivamente l’IBAN della vittima. Il server backend, che raccoglie queste informazioni, è raggiungibile a un dominio diverso dal sito principale. Inoltre, da qui vengono prelevati dettagli riguardo l’indirizzo IP, il tipo di browser, il dispositivo e il sistema operativo dell’utente.

Per trasmettere i dati rubati, viene utilizzato jQuery per inviare una richiesta POST a un’API di Telegram e per comunicare i dati rubati direttamente al bot che funge da C2.

Gli indicatori della minaccia, già divulgati tramite il feed IoC del CERT-AgID, sono stati condivisi con tutte le organizzazioni pubbliche accreditate.

https://cert-agid.gov.it/news/nuovo-smishing-inps-sfrutta-un-bot-telegram-come-c2/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE