E’ attualmente in corso una campagna di phishing diffusa tramite email scritta in lingua italiana, rivolta agli utenti con account di LiberoMail. Queste email invitano le vittime a saldare una fattura inesistente.

Il contenuto del messaggio sfrutta una falsa conversazione preesistente con il mittente, incoraggiando l’utente a aprire il file PDF allegato all’email malevola.

Il documento PDF contiene un avviso che informa la vittima che il file è protetto e la invita a seguire il link tramite il pulsante SCARICA DOCUMENTO PDF. Una volta cliccato sul link, viene visualizzata una pagina di login che simula l’accesso alla webmail del servizio italiano libero.it.

Lo scopo della campagna è quello di ottenere le credenziali di accesso al servizio webmail libero.it, raccogliendole in chiaro su un canale di Telegram che ha iniziato a collezionare account email Libero dal 21 settembre 2023.

Indicatori di Compromissione

Per facilitare le azioni di contrasto della campagna fraudolenta, di seguito vengono riportati gli IoC identificati durante l’analisi, che sono stati già condivisi con le PA accreditate al Flusso IoC del CERT-AgID.

Link: Download IoC