Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Group-IB: многоэтапный фишинг в инфраструктуре Италии через Telegram

1
3 мин
Исследователи Group-IB выявили многоэтапный набор для фишинга, ориентированный на инфраструктуру Италии и демонстрирующий эволюцию тактик злоумышленников. Этот фреймворк имитирует доверенные бренды — в частности, Aruba.it — и использует передовые методы уклонения, фильтрацию CAPTCHA и эксфильтрацию данных через Telegram. «Набор работает как полноценное приложение, предназначенное для методичного руководства жертвами в процессе сбора учетных записей в обход автоматизированных систем обнаружения.» Ключевые элементы, обеспечивающие эффективность набора: Telegram используется в качестве центральной платформы для координации и эксфильтрации данных. Интеграция с мессенджером облегчает обмен украденной информацией между операторами кампании и демонстрирует, что Telegram превратился в важную инфраструктурную точку для организации многочисленных киберпреступных операций. Описанная кампания ещё раз подтверждает: современные фишинговые наборы становятся всё более сложными и похожими на полноценны
Оглавление

Исследователи Group-IB выявили многоэтапный набор для фишинга, ориентированный на инфраструктуру Италии и демонстрирующий эволюцию тактик злоумышленников. Этот фреймворк имитирует доверенные бренды — в частности, Aruba.it — и использует передовые методы уклонения, фильтрацию CAPTCHA и эксфильтрацию данных через Telegram.

Как работает атака: по шагам

  • Атака обычно начинается с целевого фишинга по e-mail, где злоумышленники создают ощущение срочности, ссылаясь на угрозы прекращения услуг или проблемы с платежом.
  • Письмо перенаправляет жертву на поддельную страницу входа, стилизованную под реальные почтовые/платёжные сервисы, например Aruba.it.
  • Перед передачей фишингового контента пользователю отображается запрос CAPTCHA — механизм фильтрации, призванный отсеять автоматизированные системы анализа и обеспечить контакт с реальными людьми.
  • После прохождения CAPTCHA начинается многоступенчатый сбор данных: сначала вводятся платежные реквизиты.
  • Жертве затем предлагается ввести данные для подтверждения транзакции — поддельная страница имитирует процедуру 3D Secure или запрос OTP. Получив одноразовый пароль, злоумышленники могут санкционировать мошеннические операции.
  • После завершения сбора данных пользователь перенаправляется на легитимный сайт и чаще всего не догадывается о компрометации аккаунта.
«Набор работает как полноценное приложение, предназначенное для методичного руководства жертвами в процессе сбора учетных записей в обход автоматизированных систем обнаружения.»

Механизмы уклонения и особенности

Ключевые элементы, обеспечивающие эффективность набора:

  • Многоуровневое уклонение — комбинирование CAPTCHA, staged pages и имитации брендов для минимизации детектирования.
  • Фильтрация CAPTCHA для отсечения ботов и автоматизированных сканеров.
  • Многоступенчатый сбор данных, который поэтапно вытягивает сначала платежные реквизиты, затем одноразовые коды подтверждения.
  • Перенаправление на легитимные ресурсы, что снижает вероятность подозрений у пользователя после атаки.

Роль Telegram

Telegram используется в качестве центральной платформы для координации и эксфильтрации данных. Интеграция с мессенджером облегчает обмен украденной информацией между операторами кампании и демонстрирует, что Telegram превратился в важную инфраструктурную точку для организации многочисленных киберпреступных операций.

Последствия и риски

  • Компрометация банковских карт и несанкционированные списания средств.
  • Утечка учетных данных и дальнейшее использование для взлома почтовых и корпоративных аккаунтов.
  • Затруднённое расследование из‑за многоступенчатой конструкции и использования легитимных сервисов как маскировки.

Рекомендации для пользователей и организаций

  • Не вводите OTP или код подтверждения в ответ на e-mail или на незнакомых сайтах — банки никогда не запрашивают передачу кода третьим лицам.
  • Проверяйте адрес ссылки перед переходом: убедитесь, что домен действительно принадлежит сервису (Aruba.it и пр.).
  • Включите и используйте надежные методы 2FA (аутентификаторы, аппаратные ключи), а не только SMS, где это возможно.
  • Для организаций — внедрите DMARC/DKIM/SPF, фильтрацию входящей почты и обучение сотрудников распознавать фишинг.
  • При подозрении на компрометацию — немедленно свяжитесь с банком, смените пароли и сообщите в службу поддержки сервиса и уполномоченные правоохранительные органы.

Описанная кампания ещё раз подтверждает: современные фишинговые наборы становятся всё более сложными и похожими на полноценные приложения. Комплексная защита — технические средства, процессная выучка и бдительность пользователей — остаётся ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Group-IB: многоэтапный фишинг в инфраструктуре Италии через Telegram".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются