Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Il gruppo Leonardo utilizzato come esca per una campagna di phishing

Redazione RHC : 24 Marzo 2023 12:37

E’ stata inviata in redazione nella giornata di oggi una segnalazione da parte della Securitysas che riporta all’attenzione che una campagna di malspam si sta diffondendo velocemente e vede utilizzato come esca il Gruppo Leonardo.

Nello specifico si tratta di una mail che ha come oggetto “Fattura Elettronica” e riporta al suo interno il seguente testo:

Fattura elettronica in attesa
Stimato cliente,
Vogliamo informarti che la tua ultima fattura elettronica è in attesa. 

Ti invitiamo a controllare i tuoi dati e a effettuare il pagamento il prima possibile per evitare eventuali problemi o interruzioni del servizio.

Puoi visualizzare e pagare la fattura accedendo al link seguente:
Ti ringraziamo per la tua collaborazione e rimaniamo a tua disposizione per ulteriori informazioni.
Cordiali saluti,
Il gruppo di Leonardo
Testo completo della mail di phsishing

Cosa nasconde questa campagna di phishing

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Cliccando sul tasto riportato all’interno della email, si accede al dominio https://nabf-2j6pxlwduq-uc.a[.]run[.]app. Come riporta il ricercatore di sicurezza informatica JAMESWT, non è un vero e proprio phishing classico da credenziale, ma di fatto viene distribuito un malware una volta acceduti al link.

    Sostanzialmente non viene richiesta alcuna credenziale di accesso ma semplicemente si viene infettati attraverso Mekotio, che di fatto si tratta di un malware con funzionalità di trojan e di spyware.

    Samples di Mekotio, pubblicati su Malware Bazaar tra il 22 e il 24 di Marzo 2023

    Mekotio è un malware modulare che ha preso di mira i paesi dell’America Latina, è recentemente tornato alla ribalta con un nuovo flusso di infezione. 

    Una tra le campagne più massicce è avvenuta dopo che la Guardia Civil spagnola ha annunciato l’arresto di 16 persone coinvolte nella distribuzione di Mekotio nel luglio 2021.

    Sembra che la banda dietro il malware sia stata in grado di ridurre rapidamente il divario e cambiare tattica per evitare il rilevamento.

    Prestiamo sempre attenzione al phishing

    I nomi di grandi aziende vengono spesso utilizzati per gli attacchi di phishing perché queste aziende sono conosciute a livello mondiale e spesso hanno un elevato numero di clienti. Ciò significa che ci sono molte persone che potrebbero essere ingannate da un’imitazione di un sito web o di un’email proveniente da queste aziende.

    Per questi motivi, i truffatori cercano di utilizzare il nome e l’immagine di grandi aziende per convincere le persone a fornire informazioni personali o a cliccare su link dannosi.

    Utilizzando l’immagine e il nome di un’azienda conosciuta, i truffatori cercano di aumentare la credibilità dell’attacco di phishing e di convincere le persone a fornire le informazioni richieste.

    Schermata completa di come si visualizza la mail di phishing all’interno di un client di posta

    Scopri il Phishing con gli articoli di RHC
    Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale
    Dominio malevolo riportato all’interno della mail di spam
    Contenuto html dell’email

    In generale, non appena si è di fronte ad una mail di dubbia provenienza, per prima cosa occorre sempre innalzare il livello di attenzione. Altre buone pratiche possono essere:

    1. Non fornire mai informazioni personali o sensibili: le email di phishing spesso cercano di ottenere informazioni come nomi utente, password, numeri di carta di credito e altre informazioni personali. Non fornire mai queste informazioni via email, a meno che si sia assolutamente certi che la richiesta proviene da una fonte affidabile.
    2. Verificare l’indirizzo email del mittente: i truffatori spesso utilizzano indirizzi email che sembrano simili a quelli di aziende o istituzioni legittime, ma che differiscono per una o due lettere. Verificare attentamente l’indirizzo email del mittente e controllare se si tratta di un indirizzo legittimo.
    3. Stare attenti alle email urgenti o minacciose: i truffatori spesso utilizzano toni urgenti o minacciosi per convincere le persone a fornire informazioni personali. Se ricevi una email di questo tipo, fai attenzione e verifica la sua autenticità prima di agire.
    4. Verificare la corretta scrittura del nome del sito web: i truffatori spesso creano siti web falsi che sembrano simili a quelli delle aziende o delle istituzioni legittime. Verifica attentamente l’URL del sito web e assicurati che sia scritto correttamente.

    Una mail di phishing, di solito necessita di una “call to action”, pertanto sono presenti tasti funzione (come in questo caso) oppure dei link presenti all’interno del corpo della mail. I consigli relativi ai link sono:

    1. Verificare l’URL del link: passa il cursore del mouse sul link e guarda l’URL che appare nella parte inferiore del browser. Verifica che l’URL corrisponda a quello che ci si aspetterebbe di vedere e che sia scritto correttamente.
    2. Non cliccare sui link sospetti: se non si è sicuri della provenienza del link, è meglio evitare di cliccarci sopra. In generale, è meglio digitare l’URL del sito web direttamente nella barra degli indirizzi del browser.
    3. Controllare la presenza di crittografia: i siti web legittimi utilizzano la crittografia per proteggere le informazioni degli utenti. Verifica che il sito web utilizza HTTPS e che il lucchetto verde appare accanto all’URL.

    In generale, la regola principale per evitare gli attacchi di phishing è di mantenere sempre un atteggiamento critico e di non fornire mai informazioni personali o sensibili a meno che non si sia sicuri della provenienza della richiesta.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    CVE a rischio! La spina dorsale della cybersecurity Occidentale potrebbe spegnersi oggi. Riflessioni

    Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006