Group-IB: многоэтапный фишинг в инфраструктуре Италии через Telegram

Исследователи Group-IB выявили многоэтапный набор для фишинга, ориентированный на инфраструктуру Италии и демонстрирующий эволюцию тактик злоумышленников. Этот фреймворк имитирует доверенные бренды — в частности, Aruba.it — и использует передовые методы уклонения, фильтрацию CAPTCHA и эксфильтрацию данных через Telegram.

Как работает атака: по шагам

• Атака обычно начинается с целевого фишинга по e-mail, где злоумышленники создают ощущение срочности, ссылаясь на угрозы прекращения услуг или проблемы с платежом.
• Письмо перенаправляет жертву на поддельную страницу входа, стилизованную под реальные почтовые/платёжные сервисы, например Aruba.it.
• Перед передачей фишингового контента пользователю отображается запрос CAPTCHA — механизм фильтрации, призванный отсеять автоматизированные системы анализа и обеспечить контакт с реальными людьми.
• После прохождения CAPTCHA начинается многоступенчатый сбор данных: сначала вводятся платежные реквизиты.
• Жертве затем предлагается ввести данные для подтверждения транзакции — поддельная страница имитирует процедуру 3D Secure или запрос OTP. Получив одноразовый пароль, злоумышленники могут санкционировать мошеннические операции.
• После завершения сбора данных пользователь перенаправляется на легитимный сайт и чаще всего не догадывается о компрометации аккаунта.

«Набор работает как полноценное приложение, предназначенное для методичного руководства жертвами в процессе сбора учетных записей в обход автоматизированных систем обнаружения.»

Механизмы уклонения и особенности

Ключевые элементы, обеспечивающие эффективность набора:

• Многоуровневое уклонение — комбинирование CAPTCHA, staged pages и имитации брендов для минимизации детектирования.
• Фильтрация CAPTCHA для отсечения ботов и автоматизированных сканеров.
• Многоступенчатый сбор данных, который поэтапно вытягивает сначала платежные реквизиты, затем одноразовые коды подтверждения.
• Перенаправление на легитимные ресурсы, что снижает вероятность подозрений у пользователя после атаки.

Роль Telegram

Telegram используется в качестве центральной платформы для координации и эксфильтрации данных. Интеграция с мессенджером облегчает обмен украденной информацией между операторами кампании и демонстрирует, что Telegram превратился в важную инфраструктурную точку для организации многочисленных киберпреступных операций.

Последствия и риски

• Компрометация банковских карт и несанкционированные списания средств.
• Утечка учетных данных и дальнейшее использование для взлома почтовых и корпоративных аккаунтов.
• Затруднённое расследование из‑за многоступенчатой конструкции и использования легитимных сервисов как маскировки.

Рекомендации для пользователей и организаций

• Не вводите OTP или код подтверждения в ответ на e-mail или на незнакомых сайтах — банки никогда не запрашивают передачу кода третьим лицам.
• Проверяйте адрес ссылки перед переходом: убедитесь, что домен действительно принадлежит сервису (Aruba.it и пр.).
• Включите и используйте надежные методы 2FA (аутентификаторы, аппаратные ключи), а не только SMS, где это возможно.
• Для организаций — внедрите DMARC/DKIM/SPF, фильтрацию входящей почты и обучение сотрудников распознавать фишинг.
• При подозрении на компрометацию — немедленно свяжитесь с банком, смените пароли и сообщите в службу поддержки сервиса и уполномоченные правоохранительные органы.

Описанная кампания ещё раз подтверждает: современные фишинговые наборы становятся всё более сложными и похожими на полноценные приложения. Комплексная защита — технические средства, процессная выучка и бдительность пользователей — остаётся ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.