New FAX notification: You have 3 Fax Document.

Sta circolando una nuova campagna di phishing che notifica la presenza di alcuni fax per la potenziale vittima. Cliccando sull’allegato verrete inoltrati sulla pagina:
hXXp://c4ca4238a0b923820dcc509a6f75849b.hp8-us.buzz//?e=<email della vittima codificata in base64> (ma potrebbero esistere altri siti)

La pagina presenta una videata di login dove l’indirizzo email viene scritto direttamente in quanto passato nel link dell’allegato.

La pagina è stata sviluppata in modo da cambiare l’icona in base al servizio di posta elettronica utilizzato dalla vittima, sulla base del dominio dell’indirizzo email, per tentare di riprodurne la grafica. (Come potete vedere il logo utilizzato in questo caso è quello di mail.com)

Una volta immessa la password, i dati vengono inviati al seguente sito:

• hXXp://c4ca4238a0b923820dcc509a6f75849b.hp8-us[.]buzz/main/action.php;

e all’utente viene mostrato un messaggio di errore.

Nel caso in cui la vittima riscriva nuovamente il campo password, verrà mostrato un finto messaggio di avvenuto accesso e successivamente sarà reindirizzata verso l’URL legittimo https://www.office.com/.

Mi raccomando, state sempre attentionline.it

NEW FAX NOTIFICATION
Recipient: indirizzo email
You have 3 Fax Document
Pages: Check #20033 front and back Copy PDF
Received: data ricezione

Fonte: CSIRT