В настоящее время наблюдается масштабная фишинговая кампания, направленная на пользователей итальянского почтового сервиса LiberoMail. Злоумышленники рассылают письма на итальянском языке, в которых требуют оплатить несуществующий счет.
Описание
Сообщение имитирует переписку с отправителем, побуждая жертву открыть прикрепленный PDF-файл. В документе содержится уведомление о том, что файл защищен, и предлагается перейти по ссылке через кнопку "SCARICA DOCUMENTO PDF". После нажатия пользователь попадает на поддельную страницу входа в почтовый сервис libero.it, где мошенники крадут учетные данные.
Собранные логины и пароли сохраняются в открытом виде в Telegram-канале, который начал собирать данные с 21 сентября 2023 года. Эксперты рекомендуют не переходить по подозрительным ссылкам, проверять адреса отправителей и использовать двухфакторную аутентификацию для защиты аккаунтов.
Индикаторы компрометации
Domains
- zimorek.za.com
URLs
- https://api.telegram.org/bot5779683302
- https://zimorek.za.com/lots/libero-connect/it/config.php
- https://zimorek.za.com/lots/libero-connect/it/get_pass.php
- https://zimorek.za.com/lots/libero-connect/it/index.php
- https://zimorek.za.com/lots/libero-connect/it/signin.php
MD5
- c904f85ad9310c065907aa6be8a68d0d
SHA1
- e26a7fc0ce501fb219615ffe038df6e3db284000
SHA256
- b73d1adde2cf24e706b5388c4c56a0b841e4251ab81b8550c89f6dca61f8b626
