Il CERT-AGID ha avuto evidenza di una campagna di phishing veicolata tramite email che, usando toni e riferimenti legali, accusa il destinatario della comunicazione di aver violato, tramite il proprio account Facebook, il copyright di Universal Music Group (UMG) per l’uso del brano “Someone You Loved” di Lewis Capaldi. La mail presenta un allegato PDF intitolato “Final Legal Warning – Video Copyright” contenente un link per visionare il fantomatico post incriminato.

Falso CAPTCHA

Una volta cliccato sul link, la vittima viene reindirizzata a una pagina che riproduce l’ambiente di Meta e mostra un finto controllo reCAPTCHA, studiato per trasmettere un’illusione di legittimità.

Finto popup con URL Facebook

Superato questo passaggio, compare un finto popup del browser per effettuare il login su Facebook. La finestra simulata appare completa di lucchetto, https e dominio “facebook.com”, ma l’indirizzo è solo un elemento grafico non interattivo: non è selezionabile, non modifica il dominio reale visibile nella barra del browser e non instrada la sessione verso i server Facebook. I campi di email/telefono e password appartengono in realtà alla pagina di phishing sottostante e, al momento di cliccare su “Accedi”, i dati vengono inviati al server di comando e controllo degli attaccanti (C2).

Indicatori di compromissione

Il CERT-AGID ha già condiviso i relativi IoC con le organizzazioni accreditate al flusso. Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati.

Link: Download IoC