This site uses cookies. By continuing to browse the site, you are agreeing to our use of cookies.
AcceptAccept Only EssentialsLearn morePotremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Google Fonts:
Impostazioni Google di Enfold:
Cerca impostazioni:
Vimeo and Youtube video embeds:

Nuova campagna di smishing sfrutta APCOA Flow per sottrarre dati delle carte di pagamento
PhishingNel mese di giugno 2026 il team di D3Lab ha rilevato almeno quattro campagne di smishing rivolte a utenti italiani che sfruttano il nome di APCOA Flow, il servizio digitale di gestione dei parcheggi del gruppo APCOA, con l’obiettivo di sottrarre dati di pagamento delle vittime.
Il messaggio fraudolento viene distribuito tramite SMS e informa il destinatario della presunta presenza di una violazione del Codice della Strada legata ad un parcheggio non pagato, invitandolo a regolarizzare rapidamente la posizione attraverso un link incluso nel messaggio.
Il testo del messaggio osservato recita:
Il messaggio include un dominio non riconducibile ad APCOA e sfrutta il senso di urgenza tipico delle campagne di smishing, facendo leva sulla paura di ricevere sanzioni amministrative o ulteriori maggiorazioni economiche.
Continua a leggereGang criminali all’assalto dei corrieri: il boom del phishing contro GLS
PhishingIn D3Lab crediamo che ogni servizio, erogato da qualsiasi società, che richieda un login e renda plausibile la richiesta di dati personali e finanziari possa risultare di interesse per i criminali. Non solo furti di identità, abuso di carte di credito, ma anche abuso account compromessi su servizi di vendita dedicati ai privati, locazione e vendita case e alloggi, così come sistemazione vacanze.
In questo panorama anche i corrieri, i servizi di consegna merci, possono attrarre l’attenzione dei criminali. In questo articolo ci occuperemo dell’impennata di campagne di phishing registrate dal nostro team anti frode a danno di GLS Italia nell’arco degli ultimi mesi.
Campagne di phishing a danno di GLS registrate dal 01/01/2012 al 24/06/2026
Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy
MalwareIn June 2026, we analysed a malware campaign distributed through Italian-language phishing emails. The message pretended to deliver an invoice and used the subject
Fattura #2818999851.The victim was shown what looked like a PDF document. The downloaded file was instead an obfuscated Windows JavaScript file named
Fattura-2819889242.pfd.js. The unusualpfd.jsending was likely intended to look similar to.pdfat a quick glance.The most interesting part of this infection was not the initial JavaScript. The malware installed a malicious Google Chrome extension and paired it with a Native Messaging Host. This combination allowed code running inside Chrome to request PowerShell commands on the Windows system.
An extension normally cannot start local programs. Native Messaging changed that security boundary.
Continua a leggereItalian Invoice-Themed Phishing Campaign Delivers UpCrypter and NeptuneRAT
MalwareSince February 2026, we have been tracking an invoice-themed malware campaign targeting Italian users and organizations. The messages are written in Italian and abuse a familiar business pretext: a short invoice notification that asks the recipient to open an attached HTML document. The lure is minimal, credible enough for a busy inbox, and designed to move the victim from email to browser to script execution.
One of the analyzed emails used the subject
Nostra fattura nr. 91B. The body asked the recipient to review the attached document to view invoice details. The attachment was namedFattura_00121.html.Dentro la truffa: la falsa campagna a tema Polizia Postale che esfiltra dati in tempo reale
PhishingNella giornata odierna, durante le consuete attività di monitoraggio e contrasto alle frodi online, il Threat Intelligence Team di D3Lab ha rilevato la prima campagna di phishing dell’anno a tema Commissariato di P.S. Online della Polizia Postale, strumentalizzato per orchestrare attacchi di SIM Swapping.
Il Commissariato di P.S. Online è lo sportello virtuale della Polizia Postale e delle Comunicazioni, l’articolazione specializzata della Polizia di Stato deputata alla prevenzione e al contrasto della criminalità informatica dedicato alla comunicazione da e verso il cittadino.
Proprio a causa del suo ruolo centrale come punto di riferimento istituzionale per la sicurezza in rete, gli aggressori hanno deciso di clonarne l’identità: sfruttare il nome di un ente preposto a combattere le truffe rappresenta per i criminali il modo più efficace per abbassare le difese psicologiche delle vittime.
Continua a leggereNFCShare evolves: from a banking phishing APK to a GitHub-hosted Android NFC fraud campaign
Malware, PhishingIn January 2026, we analyzed NFCShare, an Android banking trojan distributed as a malicious APK through a phishing flow impersonating Deutsche Bank. The malware presented a fake card-verification interface, asked the victim to place a payment card near the phone, collected the card PIN, and exfiltrated NFC-derived payment-card data to a WebSocket endpoint.
Since 14 May 2026, we have observed a newer wave of NFCShare APKs impersonating Italian and European banking brands. The campaign we investigated started from an ad hoc phishing website,
areaclienti-intesa.com, which mimicked the look and feel of Intesa Sanpaolo. After the victim entered home-banking credentials, the phishing flow prompted the user to update the banking application. At that point, the website visually directed the victim to a shortened URL, such ashttps://tinyurl[.]com/Intesa-Carte, which then redirected toward APKs hosted in the GitHub repositoryantoniocastaldo1998/app-scuola.The newer samples are still NFCShare. The core NFC and exfiltration logic remains largely unchanged. The relevant evolution is operational and anti-analysis oriented: more frequent APK rebuilds, brand rotation, a new C2 endpoint, a 10-DEX layout, and malformed ZIP paths designed to break naive APK extractors.
Continua a leggereB1ack’s Stash Releases 4.6 Million Payment Cards: Web Skimming Leak Analysis
Data LeakOn May 18, 2026, the criminal marketplace B1ack’s Stash published a new archive containing millions of compromised payment cards on a well-known underground forum. The release had an explicitly promotional purpose: driving traffic to the illegal market, reinforcing its reputation within the carding ecosystem, and, according to the threat actor’s own narrative, punishing sellers accused of reselling the same cards elsewhere.
In the announcement, the threat actor claimed to have “suspended” almost 8 million CVV2 cards and made them available for free in the marketplace’s freebies section. The download link, distributed through Exploit.in’s Send platform, was limited to 1,000 downloads or 30 days.
Continua a leggereNon è beneficenza, è furto d’identità: i retroscena del clone Caritas intercettato da D3Lab
Brand Monitor, PhishingIl Threat Intelligence Team di D3Lab, grazie al servizio di Brand Monitor ha intercettato un pericoloso clone malevolo che punta a truffare i cittadini proponendosi come la Caritas Italiana. Nel panorama del cybercrime, si tratta di una delle tattiche più spregevoli: lo sciacallaggio digitale, ovvero lo sfruttamento della fiducia riposta in istituzioni caritatevoli per colpire le fasce più vulnerabili della popolazione.
La Caritas Italiana è l’organismo pastorale della Conferenza Episcopale Italiana (CEI) che promuove la testimonianza della carità, sostenendo e coordinando oltre 200 Caritas diocesane. Si dedica ad aiutare i poveri e gli emarginati, promuovere il volontariato, sensibilizzare la comunità sui bisogni sociali e intervenire in emergenze nazionali e internazionale.
BreachForums Data Leaks: Technical Analysis and Timeline Attribution (2022–2026)
Data LeakIntroduction
Over the past few years, multiple data leaks attributed to BreachForums have been publicly released, often associated with different domains used by the platform over time (
.vc,.co,.hn,.bf).However, many sources tend to conflate these datasets, creating confusion between:
This article provides a technical and evidence-based reconstruction, aimed at Cyber Threat Intelligence and OSINT analysts, clearly distinguishing between leak publication and actual data timelines.
Continua a leggereFalsa email su ChatGPT: nuova campagna di phishing in Italia ruba dati delle carte e codici OTP
PhishingI ricercatori di D3Lab hanno rilevato una nuova campagna di phishing che sfrutta il brand ChatGPT, servizio sviluppato da OpenAI, per sottrarre dati di carte di pagamento e codici di sicurezza agli utenti italiani.
Si tratta della prima campagna in lingua italiana osservata da D3Lab che utilizza questo pretesto, segnale di come i criminali stiano rapidamente adattando le proprie strategie all’evoluzione dei servizi digitali più diffusi.
Continua a leggere