In corso campagna di phishing con falsi rimborsi fiscali

Il CERT-AgID, ha riscontrato una campagna di phishing che usa il nome dell’Agenzia delle Entrate.

L’e-mail ingannevole

Nell’e-mail (“Rimborso fiscale N°u00b00784841364953050SARSVOV“), proveniente da un fantomatico servizio di supporto (support@agenzia.it, l’indirizzo email è inesistente) e che presenta il logo dell’Agenzia si fa riferimento ad un presunto rimborso fiscale di 145 euro.

L’intento sarebbe quello di convincere le vittime a compilare e presentare il Modulo di Rimborso propinato tramite un link e che in realtà porta ad una pagina di phishing con la quale i malfattori tentano di carpire dati personali e bancari dei malcapitati.

Analisi pagina di phishing

Dall’analisi dell’URL (https://memoriaesportivasc.ufsc.br/wp-content/upgrade/httpswww.agenziaentrate.gov.itportalewebguestcittadinipagamenti-e-rimborsirimborsi/) si scopre che la pagina di phishing risiederebbe in un sotto dominio compromesso dell’Università Federale di Santa Caterina in Brasile.

Dopo la raccolta degli estremi personali, vengono richiesti i dati della carta di credito e i codici dispositivi sms e Nexi. Il processo termina con un avviso “Applicazione registrata con succcesso” che assicura che un ordine di bonifico è stato inviato alla banca dell’interlocutore.

Come avviene l’invio dei dati

La comunicazione con il server deputato a raccogliere illecitamente i dati tramite le videate proposte (ovvero frame interni alla pagina principale) avviene di volta in volta con il click dei pulsanti “Avanti” (“<button id=”btn1″ onclick=”_tables.fkbtn(1);”>Avanti</button>”) in calce a ciascuna delle 4 pagine HTML. I dati raccolti all’interno di un parametro array “data” vengono quindi inviati tramite richiesta GET utilizzando il file PHP “sender.php” attraverso la funzione “_tables.iframelink(link, param)” contenuta in una libreria javascript “code.js“.

Raccomandazioni

Matrice Digitale, invita quindi a non usare simili mezzi di pagamento quando si interagisce con strutture sia private che della Pubblica Amministrazione e a verificare sempre eventuali riferimenti normativi proposti a supporto della validità delle richieste, consultando sempre le relative pagine web ufficiali.

Nel frattempo continua anche la campagna malspam a tema Agenzia delle Entrate che veicola il trojan bancario Ursnif

In settimana il CERT-AgID ha avuto evidenze di ben cinque campagne massive rivolte a PA e privati.

Di seguito gli IoC

https://urlscan.io/result/51135e99-0897-4bbc-98c5-a134c1d45f8c/

https://cert-agid.gov.it/wp-content/uploads/2023/02/phishing_agenzia-entrate_07-02-2023.json_.txt

https://cert-agid.gov.it/wp-content/uploads/2023/02/ioc_agenzia-entrate_07-02-2023_09-02-2023.json_.txt