Un'e-mail mi ha portato a indagare su una delle più grandi campagne di PHISHING del momento!

Un'e-mail mi ha portato a indagare su una delle più grandi campagne di PHISHING del momento!

05/02/2026

Autore: Juan Mathews Rebello Santos

1. SOMMARIO ESECUTIVO

La presente relazione tecnica documenta l'indagine forense da me condotta al ricevimento di un'e-mail fraudolenta contenente una presunta notifica di premio e un deposito finanziario in sospeso. L’analisi ha rivelato una sofisticata infrastruttura criminale informatica che gestisce campagne di phishing, scareware e frodi di affiliazione su scala internazionale.

Durante l'indagine, ho identificato una catena di reindirizzamenti composta da:

  • spam elettronico con ingegneria sociale;
  • abuso dell'infrastruttura di Cloudflare Pages;
  • impegno dei dipendenti pubblici nella Repubblica Democratica del Congo;
  • Infrastruttura di comando e controllo (C2);
  • utilizzo dell'algoritmo di generazione dei domini (DGA);
  • Certificati SSL con caratteri jolly;
  • e monetizzazione attraverso i programmi di affiliazione Norton/Gen Digital tramite Impact Radius.

L'operazione dimostra un alto livello di professionalità tecnica, evasione anti-analisi e automazione delle campagne dannose.

N. 2. ORIGINE DELL'INDAGINE

L'indagine è iniziata dopo aver ricevuto un'e-mail chiaramente contraffatta inviata all'indirizzo:

"testo". [email protected]


L'oggetto del messaggio era:

"testo".
Codice Premio

Il contenuto dell'e-mail mescolava testo arabo con messaggi di urgenza finanziaria, una strategia utilizzata per ostacolare i filtri anti-spam e aumentare l'apparenza di legittimità.

Estratto identificato:

"testo". شكراً على مشاركتك في المسابقة يرجى الاحتفاظ بالكود للمراجعة عند السحب


Traduzione approssimativa:

"testo".
“Grazie per aver partecipato al concorso.
Si prega di conservare il codice per la verifica durante l'estrazione."

Il messaggio conteneva anche un presunto codice promozionale:

"testo". Codice: 9132289937520370


Tuttavia, il vero obiettivo dell'e-mail era indurre l'utente a cliccare su un collegamento dannoso inserito al centro del messaggio:

"testo".
⚠️ Urgente: il tuo deposito di $ 3.639,00 è sospeso. Conferma ora:
https://obs.regideso.cd/?8nqrpm

Il contenuto mostrava anche il mio indirizzo email per aggiungere un senso di personalizzazione e legittimità:

"testo". [email protected]


L'analisi ha dimostrato che l'e-mail è stata creata per combinare:

* premi falsi;
* urgenza finanziaria;
*lingua straniera;
* ingegneria sociale;
* e parziale occultamento della truffa.

L'obiettivo era indurre la vittima a cliccare immediatamente.

---

# 3. CATENA DI REDIRECT DANNOSA

Quando si accede al collegamento:

"testo".
https://obs.regideso.cd/?8nqrpm

Ho identificato che il dominio funzionava solo come relè intermedio all'interno dell'operazione.

Il flusso completo osservato durante l’indagine è stato:

"testo". E-mail di spam ↓ obs.regideso.cd ↓ lino-wharf-river.pages.dev ↓ Sottodomini casuali di yandehyto.com ↓ Domini finali scareware/phishing


Tra le destinazioni finali identificate c'erano:

* `pelnoriva.shop`
* `baleiddiste.com`
* `phidatharacce.com`

Questa architettura dimostra una catena professionale di offuscamento dell'infrastruttura, rendendo difficile il monitoraggio, il blocco automatizzato e l'analisi forense.

---

# 4. ANALISI DEL RELÈ IMPEGNATO

Il dominio:

"testo".
obs.regideso.cd

risolto all'IP:

"testo". 161.35.30.54


ospitato sull'infrastruttura DigitalOcean.

Il bene sembrava appartenere alla società pubblica di approvvigionamento idrico della Repubblica Democratica del Congo:

*REGIDESO SA

Durante l'analisi dell'ambiente web, ho individuato:

* file PHP non autorizzati;
* script che agiscono come reindirizzatori;
* Esposizione all'ambiente Laravel;
* backend che funziona in modalità Debug.

File osservati:

* `info.php`
* `index.php`

Sono stati esposti anche i percorsi assoluti del server interno:

"testo".
C:\api-facture\api-facture\

L'esposizione di queste informazioni conferma gravi difetti di rafforzamento e configurazione non sicura del framework Laravel.

5. INFRASTRUTTURE DI COMANDO E CONTROLLO (C2)

Il nucleo dell'operazione era centralizzato su un server che operava come:

  • reindirizzatore centrale;
  • tracciatore di clic;
  • gateway di monetizzazione;
  • e controller della campagna.

Endpoint identificato:

"testo". /clic.php


---

# 6. TECNICHE DI EVASIONE

## 6.1 Cloaking contro l'analisi

Ho identificato che il server ha implementato il cloaking attivo contro:

* ricercatori;
* scanner automatizzati;
* IP dei datacenter;
* strumenti come `curl` e `Nmap`.

Quando ha rilevato un ambiente sospetto, il server ha risposto con:

```http
HTTP/1.1 302Trovato
Posizione: http://yahoo.com/

oppure:

Posizione: http://google.com/

Questa tecnica riduce drasticamente l'esposizione della pagina di destinazione dannosa ai sistemi di sicurezza.

6.2 DGA e DNS con caratteri jolly

Durante l'indagine, ho identificato un ampio utilizzo di DNS jolly nel dominio:

"testo". yandehyto.com


Qualsiasi sottodominio casuale risolto correttamente nel server C2.

Esempi identificati:

* `q5tzrz.yandehyto.com`
* `sj9k9f.yandehyto.com`
* `whonou.yandehyto.com`

Questa tecnica consente la rotazione infinita degli URL senza la necessità di registrare nuovi domini.

---

## 6.3 Certificati SSL con caratteri jolly

L'operatore ha utilizzato certificati Wildcard validi emessi da Let's Encrypt:

"testo".
*.yandehyto.com

Ciò ha consentito un HTTPS valido per tutti i sottodomini generati dinamicamente, aumentando la credibilità della truffa.

N. 7. ANALISI DELLO SCAREWARE DEL CARICO PAY

Dopo i reindirizzamenti, la vittima è stata reindirizzata alle pagine ospitate su:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Queste pagine eseguivano JavaScript dannoso simulando l'interfaccia di:

  • Protezione totale McAfee

Il codice conteneva funzioni come:

start_circleProgress()

che simulavano scansioni antivirus false e mostravano minacce inesistenti:

  • Win32/Hoax.Renos.HX
  • Trojan IRC/Backdor.Sd.FRV

Ho inoltre individuato:

  • utilizzo dell'API FullScreen;
  • blocco della navigazione;
  • cattura della messa a fuoco tramite scheda;
  • intercettazione di onbeforeunload.

L'obiettivo era quello di generare una pressione psicologica per indurre la vittima ad acquistare immediatamente l'antivirus.

8. FRODE DI AFFILIAZIONE

La monetizzazione finale è avvenuta tramite reindirizzamenti a pagine legittime da:

NortonLifeLock Generazione digitale

La campagna ha abusato della piattaforma di affiliazione:

  • Raggio di impatto

Identificatori trovati:

"testo". ID socio: 3076190 ID campagna: 4405


Il modello operativo ha convertito la paura indotta dallo scareware in commissione finanziaria.

---

# 9. PROVE FORENSI

## Reindirizzamento HTTP

```http
HTTP/1.1 302 Trovato
Server: nginx/1.28.0
Data: venerdì 1 maggio 2026 20:12:37 GMT
Posizione: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Rilevamento del occultamento:

"testo". [Rilevamento attivato] -> Reindirizzamento a http://yahoo.com/


---

## Certificato SSL

"testo".
profondità=0 CN = yandehyto.com

Nome alternativo oggetto X509v3:
DNS:*.yandehyto.com
DNS:yandehyto.com

Emittente:
C = USA
O = Crittifichiamo
NC = E7

10. INDICATORI DI IMPEGNO (COI)

IP

*161.35.30.54

Domini

  • smilingtooth.com.sa
  • obs.regideso.cd
  • linen-wharf-river.pages.dev
  • "yandehyto.com".
  • baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

Sottodomini DGA

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

ID affiliati

"testo". ID partner di Impact Radius: 3076190 ID campagna: 4405 ```

11. CONCLUSIONE

Sulla base dell'intera indagine condotta, ho concluso che la campagna analizzata rappresenta un'operazione di criminalità informatica altamente professionale, utilizzando:

phishing; * scareware; * occultamento; DGA; * abuso di infrastrutture legittime; * frode di affiliazione; * e server di terze parti compromessi.

L’operazione dimostra una forte capacità tecnica in:

  • evasione anti-analisi;
  • ingegneria sociale; *monetizzazione fraudolenta;
  • automazione delle campagne;
  • e occultamento delle infrastrutture.

12. RIFERIMENTI AFFIDABILI E ANALISI DEGLI URL

Di seguito sono riportati i link che dimostrano l'analisi di domini e URL su piattaforme di threat intelligence.

VirusTotale

AlienVault OTX

AbusiIPDB

Censis

Percorsi sulla sicurezza

urlscan.io

Shodan

Nota: attività dannose e indicatori di compromissione sono già stati segnalati alle autorità competenti.