Gli esperti del CERT-AgID hanno individuato una campagna di phishing adattivo che combina spoofing del dominio mittente e sottrazione di credenziali tramite bot Telegram.
L’email, con oggetto relativo a un presunto pagamento, contiene un allegato HTML. Il messaggio appare inviato da un indirizzo interno all’organizzazione, ma l’analisi ha rivelato l’uso di infrastrutture esterne non autorizzate, sfruttando configurazioni SPF, DKIM e DMARC non correttamente applicate.
L’allegato HTML simula una pagina di login e include JavaScript attivo: raccoglie email e password, acquisisce informazioni di contesto (IP, timestamp, hostname) e invia i dati tramite la API di Telegram, utilizzato come canale di comando e controllo. È presente anche un CAPTCHA lato client per rendere il flusso più credibile e un meccanismo di reindirizzamento finale verso un sito legittimo.
La componente più rilevante è l’invio dei dati verso Telegram, usato come canale di raccolta immediata dei dati.
Il caso dimostra che tecniche semplici, se ben coordinate, restano efficaci. Spoofing del dominio, server intermedi e allegati HTML attivi bastano a rendere credibile un attacco, senza ricorrere a exploit o vulnerabilità sofisticate.
