Il CISRT Italia ha recentemente individuato una nuova campagna di phishing che sfrutta il brand Aruba per colpire ignari utenti tramite e-mail fraudolente. Il messaggio, apparentemente legittimo, segnala presunti problemi di rinnovo di un servizio e invita il destinatario ad accedere a un link malevolo.
Il collegamento conduce a una landing page che riproduce fedelmente loghi e grafica riconducibili al fornitore di servizi Aruba, con l’obiettivo di sottrarre credenziali di accesso. Particolarmente insidiosa, la campagna utilizza un bot Telegram come canale di Command and Control (C2) per raccogliere e gestire i dati sottratti in tempo reale.
Una volta inserite le credenziali di login, alla vittima viene mostrata una finta fattura non pagata, completa di coordinate bancarie reali e funzionanti, con l’invito ad effettuare un bonifico per “regolarizzare la posizione”. Dopo il presunto pagamento, un popup conferma l’operazione, sebbene non vi sia alcun controllo reale sull’avvenuta transazione, segno ulteriore della natura fraudolenta del portale.
Raccomandazioni di sicurezza
Il CISRT Italia invita tutti gli utenti a diffidare da e-mail inattese, soprattutto quelle che richiedono l’accesso a portali relativi a servizi aziendali, finanziari o di uso comune. Inoltre, si consiglia di implementare gli Indicatori di Compromissione (IoC) riportati sul bollettino ufficiale, per rafforzare i propri sistemi di sicurezza.
https://www.acn.gov.it/portale/en/w/phishing-rilevata-campagna-a-tema-aruba
