BreachForums Data Leaks: Technical Analysis and Timeline Attribution (2022–2026)

Introduction

Over the past few years, multiple data leaks attributed to BreachForums have been publicly released, often associated with different domains used by the platform over time (.vc, .co, .hn, .bf).

However, many sources tend to conflate these datasets, creating confusion between:

  • the publication date of the leak
  • the actual time period the data refers to
  • the infrastructure (domain) active at the time of data collection

This article provides a technical and evidence-based reconstruction, aimed at Cyber Threat Intelligence and OSINT analysts, clearly distinguishing between leak publication and actual data timelines.

Continua a leggere
/da

Falsa email su ChatGPT: nuova campagna di phishing in Italia ruba dati delle carte e codici OTP

I ricercatori di D3Lab hanno rilevato una nuova campagna di phishing che sfrutta il brand ChatGPT, servizio sviluppato da OpenAI, per sottrarre dati di carte di pagamento e codici di sicurezza agli utenti italiani.

Si tratta della prima campagna in lingua italiana osservata da D3Lab che utilizza questo pretesto, segnale di come i criminali stiano rapidamente adattando le proprie strategie all’evoluzione dei servizi digitali più diffusi.

Continua a leggere
/da

Phishing EasyPark: il brand sfruttato per sottrarre dati di pagamento e documenti di identità

Negli ultimi giorni i Threat Intelligence Team di D3Lab hanno rilevato diverse campagne di phishing che sfruttano illecitamente il brand EasyPark, nota applicazione per il pagamento e la gestione della sosta tramite smartphone, disponibile in oltre 20 Paesi.

Le campagne non colpiscono l’infrastruttura del servizio, ma utilizzano il marchio EasyPark per truffare gli utenti, inducendoli a fornire dati di pagamento e informazioni personali sensibili.

Continua a leggere
/1 Commento/da

Falso concorso su WhatsApp: come funziona il furto dell’account

Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.

Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.

Continua a leggere
/da

A “Safe Browsing Blocker” in a Phishing Kit: Technical Analysis and Why It Fails

In February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.

Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g., fetch, XHR, sendBeacon) and adding a restrictive CSP that can break legitimate resources.

This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.

Continua a leggere
/da

Olimpiadi Invernali 2026: mappatura degli attacchi cyber della settimana inaugurale

Il 6 febbraio 2026 si sono ufficialmente aperte le Olimpiadi Invernali di Milano-Cortina.

Già dal 4 febbraio, tuttavia, diversi gruppi hacktivisti avevano iniziato a rivendicare attacchi contro siti istituzionali, infrastrutture pubbliche e organizzazioni italiane, utilizzando l’evento olimpico come leva mediatica.

In pochi giorni si è osservata una convergenza di attori con motivazioni geopolitiche differenti, accomunati da un hashtag ricorrente: #OpItaly.

Di seguito un riepilogo delle principali attività rilevate e monitorate.

Continua a leggere
/da

NFCShare Android Trojan: NFC card data theft via malicious APK

Executive Summary

The D3Lab team analyzed an Android application distributed through a Deutsche Bank phishing campaign. Victims are prompted to enter their phone number, then instructed to “update” their banking app by downloading a malicious APK named deutsche.apk. The APK presents itself as “Support Nexi” and guides the user through a fake “card verification” flow: bring the card near the phone, keep it close while “authenticating,” and enter the card PIN. Under the hood, the app reads NFC card data (ISO‑DEP) and exfiltrates it to a remote WebSocket endpoint.

Based on consistent internal artifacts (package naming, classes, messages, and UI flow), we assign this new cluster the family name NFCShare.

Distribution: Deutsche Bank phishing flow

The infection chain starts with a bank‑themed phishing site mimicking Italian Deutsche Bank. The victim is asked for a mobile number and then told to update the bank app. The “update” is delivered as an APK (deutsche.apk). After installation, the app claims to be “Support Nexi” and drives the user through a fake security verification designed to harvest NFC card data and the card PIN.

Continua a leggere
/12 Commenti/da

Attenzione al nuovo portale fake di Fineco: la trappola scatta dopo il Captcha

Negli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.

Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.

Continua a leggere
/da

Finta promozione Conad: come funziona la nuova campagna di Scam che sfrutta i punti fedeltà

Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato la diffusione di una campagna di Scam che sfrutta il brand Conad, una delle principali catene di supermercati italiane.
L’obiettivo dei criminali è ingannare gli utenti inducendoli a sottoscrivere inconsapevolmente un abbonamento a pagamento, mascherato da premio fedeltà.

È importante chiarirlo subito: Conad non è coinvolta nella frode ed è a sua volta una vittima dell’abuso del proprio marchio, esattamente come gli utenti che ricevono queste comunicazioni.

Scam e Phishing: due minacce diverse

Prima di analizzare la campagna nel dettaglio, è utile chiarire una distinzione fondamentale.

Nel phishing, i criminali cercano di rubare direttamente dati sensibili come password, credenziali di accesso o numeri di carta di credito, per poi utilizzarli in modo illecito.

In questo caso, invece, siamo di fronte a uno scam. Lo scam non punta al furto immediato delle credenziali, ma a convincere la vittima a pagare volontariamente, spesso attivando abbonamenti ricorrenti nascosti tra condizioni contrattuali poco visibili. Il pagamento avviene tramite circuiti reali e perfettamente funzionanti, rendendo la frode più difficile da individuare.

Continua a leggere
/da

Inside BTMOB: An Analytical Breakdown of a Leaked Android RAT Ecosystem

During a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.

Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.

Continua a leggere
/da