В настоящее время в Италии проводится фишинговая кампания, направленная на частные компании и государственные органы управления и использующая логотипы и поддельные уведомления Agenzia delle Entrate и Riscossione.
Электронное письмо с темой "Avviso Raccomandata" предлагает жертве перейти по ссылке, предложенной в теле сообщения, чтобы подтвердить уведомление.
Ссылка указывает не на реальный домен Agenzia delle Entrate, а на другой домен, который, в свою очередь, перенаправляет на второй домен, недавно зарегистрированный, который занимается проверкой IP-адреса жертвы и выбирает, направить ли ее на фишинговую страницу на специальном домене, созданном с помощью техники typosquatting, также недавно зарегистрированном, или на реальный сайт Agenzia delle Entrate.
И домен, использовавшийся для проверки исходных данных жертвы, и конечный фишинговый домен, название которого похоже на реальное, но без буквы "i", были зарегистрированы вчера (12.11.2023) и расположены в России.
Цель кампании - похитить учетные данные жертв, используемые для доступа к сервисам Налогового агентства.
Indicators of Compromise
Domains
- agenzaentrate.com
- atlanticrelocators.com
- usckwplamz.com
URLs
- https://agenzaentrate.com/
- https://atlanticrelocators.com/
- https://usckwplamz.com/