Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Phishing: rilevata campagna a tema Aruba (AL05/250708/CSIRT-ITA)

Data:
8 Luglio 2025 17:12

Sintesi

È stata recentemente rilevata da questo CSIRT una nuova campagna a tema Aruba, veicolata tramite e-mail, che fa riferimento a un problema di rinnovo di un servizio.

Descrizione e potenziali impatti

È stata recentemente rilevata da questo CSIRT una nuova campagna a tema Aruba, veicolata tramite e-mail, che fa riferimento a un problema di rinnovo di un servizio.

Il corpo del messaggio ha lo scopo di indurre la vittima a cliccare su un link che reindirizza la navigazione su una landing page opportunamente predisposta volta a carpire le credenziali di log

Figura 1 - Landing page
Figura 1 – Landing page

La landing page (Figura1) replica i loghi e riferimenti visivi riconducibili al fornitore di servizi Aruba, nel tentativo di conferire maggiore credibilità alla truffa.

È inoltre interessante osservare come le credenziali sottratte vengano inoltrate a un apposito bot Telegram, utilizzato come canale di comando e controllo (C2) da parte dell’attaccante.

Inserite le credenziali di login, all’utente viene mostrato il dettaglio di una fattura indicata come “non pagata”, accompagnato dagli estremi bancari per l’esecuzione di un bonifico finalizzato a sanare la presunta posizione debitoria (Figura 2).

Figura 2 - Dettaglio fattura non pagata
Figura 2 – Dettaglio fattura non pagata

Si evidenzia che gli estremi bancari mostrati all’utente corrispondono a coordinate reali e attive (Figura 3).

Figura 3 – Analisi degli estremi bancari per il bonifico
Figura 3 – Analisi degli estremi bancari per il bonifico

Una volta cliccato sul pulsante “Ho effettuato il pagamento”, viene visualizzato un popup contenente un messaggio che conferma la bontà dell’operazione, sebbene il portale non disponga di alcuna logica di verifica dell’effettivo completamento della transazione (Figura 4).

Figura 4 – Popup di conferma
Figura 4 – Popup di conferma

Azioni di mitigazione

Si raccomanda di diffidare da comunicazioni inattese che sollecitano l’accesso a portali, in particolar modo quelli relativi a servizi finanziari o di uso comune, aziendali e non.

Infine, si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
domain aruba-fattura24.com
iban FR802043302626N267675549317
url https://aruba-fattura24.com/navigation/done.html
url https://aruba-fattura24.com/navigation/unpaid.html
url https://aruba-fattura24.com/navigation/web.html
other tg bot: arubafatturebot

Change log

Versione Note Data
1.0 Pubblicato il 08-07-2025 08/07/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link