Nuova ondata di PhaaS: KrakenBite lancia 5 pagine false per banche marocchine

Il mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, un attore particolarmente attivo nelle ultime settimane è KrakenBite, noto per offrire servizi di phishing “chiavi in mano” rivolti a criminali informatici di tutto il mondo.

In un recente annuncio diffuso sui propri canali, rilevato dal gruppo DarkLab di Red Hot Cyber, il gruppo ha comunicato di aver aggiunto cinque nuove pagine di phishing dedicate a banche marocchine, portando il totale delle pagine disponibili nel loro “catalogo” a 115.

L’offerta criminale: pagine phishing per ogni mercato

Il post presenta un elenco impressionante di istituti bancari internazionali presi di mira: Australia, Brasile, Canada, Colombia, Francia, Italia, Israele, Messico e molti altri paesi. Per ogni banca elencata è disponibile una pagina di phishing che replica fedelmente il sito ufficiale, con l’obiettivo di rubare credenziali e dati sensibili alle vittime.

Il gruppo propone queste pagine come parte di un servizio a pagamento:

• Accesso illimitato a tutte le pagine presenti e future
• Licenza “lifetime” venduta per soli 50 dollari, un prezzo estremamente basso pensato per attirare un pubblico criminale molto vasto

Il post, inoltre, contiene screenshot di landing page progettate per imitare vari istituti finanziari marocchini come CIH Bank, Banque Populaire e Société Générale Maroc. Le pagine sono esteticamente curate e in lingua locale, segno dell’attenzione del gruppo nel rendere i propri falsi quanto più credibili possibile.

Un modello di business sempre più strutturato

La vendita di kit phishing non è una novità nel mondo del cybercrime, ma ciò che colpisce è l’approccio “aziendale” di gruppi come KrakenBite.

Nel messaggio pubblicato si fa riferimento a:

• un pannello di controllo per monitorare in tempo reale le vittime
• un “auto shop link” per acquistare il servizio
• un canale Telegram dedicato al supporto

Questa organizzazione ricorda da vicino i modelli SaaS (Software-as-a-Service) legittimi, trasformati però in PhaaS: Phishing-as-a-Service, un fenomeno in crescita che abbassa drasticamente la barriera tecnica per chi vuole compiere attacchi informatici.

Perché le nuove pagine marocchine sono significative

Il Marocco è negli ultimi anni un mercato bancario in forte digitalizzazione, con milioni di utenti che utilizzano servizi finanziari online e mobile banking.

Questa espansione digitale, unita a campagne di phishing sempre più credibili e localizzate nella lingua del Paese, aumenta il rischio che utenti poco esperti cadano nella trappola.

Il fatto che KrakenBite abbia investito nel creare ben cinque nuove pagine dedicate a istituti marocchini è un indicatore chiaro: c’è una forte richiesta di strumenti mirati proprio a quel mercato.

Per i gruppi criminali, infatti, ogni Paese rappresenta un ecosistema specifico, e il successo delle truffe dipende dalla capacità di colpire target locali con strumenti costruiti su misura.

Implicazioni per la sicurezza

L’episodio dimostra ancora una volta quanto sia fondamentale l’awareness degli utenti e la capacità delle banche di rilevare tempestivamente campagne fraudolente basate su siti clonati.

Le pagine di phishing in questione:

• imitano in modo estremamente fedele il design degli istituti bancari
• sono accessibili a chiunque, anche senza competenze tecniche
• possono essere utilizzate immediatamente per campagne via SMS, email o social engineering

In un contesto simile, la difesa passa inevitabilmente da:

1. Educazione continua dei cittadini sui segnali di una pagina fraudolenta
2. Monitoraggio proattivo del deep e dark web per intercettare la diffusione dei kit
3. Implementazione obbligatoria di metodi di autenticazione avanzati, come MFA e dispositivi hardware di sicurezza

Conclusione

L’annuncio di KrakenBite è un’ulteriore conferma dell’evoluzione del cybercrime verso modelli sempre più industrializzati e globali. Il phishing non è più opera di singoli attaccanti improvvisati, ma di vere e proprie “aziende” criminali che sviluppano, distribuiscono e supportano strumenti pronti per l’uso.

La consapevolezza e la prevenzione restano oggi più che mai l’arma principale per contrastare questi fenomeni.

L'articolo Nuova ondata di PhaaS: KrakenBite lancia 5 pagine false per banche marocchine proviene da Red Hot Cyber.

Presunta violazione dati di Mercedes-Benz: Un criminal hacker vende i dati a 5000 dollari

Un hacker che opera sotto lo pseudonimo di “zestix” ha pubblicato un post su un forum underground, dove sembra che abbia causato una significativa violazione dei dati presso Mercedes-Benz USA (MBUSA).

L’aggressore afferma di aver sottratto 18,3 GB di dati legali e dei clienti sensibili. Questi dati vengono ora offerti in vendita su un forum darknet per 5.000 dollari. Secondo l’annuncio, il set di dati include un’ampia gamma di documenti interni, inclusi procedimenti legali in corso e conclusi provenienti da 48 stati degli Stati Uniti.

Sembrerebbe che si tratti di un ennesimo attacco alla supply-chain, un fenomeno che affligge tutte le aziende e nessuna ne è esclusa. Se l’incidente si rivelasse autentico, metterebbe in luce la vulnerabilità critica dei fornitori terzi che elaborano dati aziendali e dei consumatori altamente sensibili.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’hacker sostiene che la violazione dei dati riguarda tutte le strategie di difesa del colosso automobilistico, le spese legali esterne e le politiche di risoluzione delle controversie negli Stati Uniti. L’archivio trapelato conterrebbe sia dati legali operativi sia informazioni personali identificabili (PII) dei clienti.

Questa rivelazione sottolinea il rischio continuo rappresentato dalle vulnerabilità nella catena di fornitura. Sebbene Mercedes-Benz USA abbia subito perdite di dati in passato, come la violazione accidentale dello storage cloud nel 2021 che ha colpito quasi 1.000 clienti, questo particolare incidente colpisce la catena di fornitura legale piuttosto che l’infrastruttura diretta dell’azienda.

La divulgazione di “modelli/moduli MBUSA riservati” e di strategie legali difensive potrebbe avere implicazioni a lungo termine per i contenziosi in corso. Inoltre, l’inclusione di “questionari per nuovi fornitori” contenenti informazioni bancarie solleva preoccupazioni circa potenziali compromissioni delle email aziendali (BEC) o frodi finanziarie a danno della rete di fornitori della casa automobilistica.

Al momento della stesura di questo rapporto, né Mercedes-Benz USA né Burris & MacOmber LLP hanno rilasciato una dichiarazione ufficiale in merito all’autenticità dei dati. Gli analisti della sicurezza consigliano ai clienti interessati di monitorare i propri rapporti di credito e di prestare attenzione ai tentativi di phishing che facciano riferimento ai loro fascicoli.

L'articolo Presunta violazione dati di Mercedes-Benz: Un criminal hacker vende i dati a 5000 dollari proviene da Red Hot Cyber.

The New Pebble: Now 100% Open Source

The Pebble was the smartwatch darling of the early 2010s, a glimpse of the future in the form of a microcontroller and screen strapped to your wrist. It was snapped up by Fitbit and canned, which might have been the end of it all were it not for the dedication of the Pebble community. Google open-sourced the OS back in January this year, and since then a new set of Pebble products have appeared under the guidance of Pebble creator [Eric Migicovsky]. Now he’s announced the full open-sourcing of the current Pebble hardware and software stack. As he puts it, “Yesterday, Pebble watch software was ~95% open source. Today, it’s 100% open source”.

If you’re curious it can all be found in repositories under the Core Devices GitHub account. Building your own Pebble clone sounds cool, but perhaps the real value lies instead in giving the new Pebbles something the original never had, an assured future. If you buy one of the new watches then you’ll know that it will remain fixable, and since you have the full set of files you can create new parts for it, or update its software. We think that’s the right way to keep a personal electronic device relevant.

If you want a new Pebble they have a store, meanwhile read some of our previous coverage of its launch.

hackaday.com/2025/12/01/the-ne…

4 milioni di dispositivi Apple sotto tiro! I calendari digitali alleati degli hacker criminali

I calendari digitali sono da tempo un modo pratico per tenere sotto controllo le attività quotidiane, ma una nuova ricerca di Bitsight dimostra che questo strumento familiare può trasformarsi in un vero e proprio canale di attacco.

I ricercatori di Bitsight hanno scoperto oltre 390 domini abbandonati associati alla sincronizzazione di iCalendar, che ricevevano richieste giornaliere da circa 4 milioni di dispositivi iOS e macOS. Chiunque registri nuovamente questi domini ottiene la possibilità di aggiungere furtivamente eventi ai calendari degli utenti, completi di link, file e qualsiasi altro contenuto.

Il problema è che le iscrizioni a calendari di terze parti vengono solitamente create con un solo clic, per festività, calendari di eventi, sconti o promemoria delle app. Ma la comodità comporta anche dei rischi: gli aggressori possono creare un’infrastruttura che induce gli utenti ad abbonarsi ai loro “aggiornamenti”.

Da quel momento in poi, il dispositivo inizia automaticamente, senza l’intervento del proprietario, ad accedere regolarmente al dominio, ricevendo nuovi file .ics. Se il dominio viene registrato nuovamente dai criminali informatici, il calendario inizia a visualizzare promemoria intrusivi, link di phishing, false notifiche su software antivirus o VPN , ovvero qualsiasi cosa che possa invogliare la vittima a cliccare.

Gli esperti hanno scoperto centinaia di domini di questo tipo, molti dei quali erano collegati a milioni di indirizzi IP univoci. Le richieste provenivano chiaramente non da nuovi abbonamenti, ma da vecchi calendari dimenticati, ad esempio quelli con festività in vari paesi. Il semplice dirottamento del dominio avrebbe immediatamente creato un “canale di distribuzione” per un numero enorme di dispositivi.

Allo stesso tempo, Bitsight ha scoperto un’intera infrastruttura progettata per distribuire in massa abbonamenti dannosi: siti web hackerati caricavano di nascosto script offuscati che reindirizzavano i visitatori a false pagine CAPTCHA. Lì, le vittime venivano convinte a cliccare su “Consenti“, apparentemente per superare una procedura di verifica, ma in realtà questo attivava direttamente un abbonamento a notifiche push o eventi del calendario. Queste catene di reindirizzamento utilizzavano spesso domini .biz e .bid ed erano collegate alla famigerata campagna malware Balada Injector .

Questo non era l’unico schema. I ricercatori hanno trovato file APK e documenti PDF che conducevano alle stesse catene. Le app Android si camuffavano da giochi, sparivano dopo l’avvio e aprivano gli URL desiderati tramite WebView. I file PDF contenevano minuscoli URL che conducevano alle stesse pagine false. L’intera infrastruttura era ben organizzata: decine di servizi di hosting, centinaia di domini, migliaia di APK, certificati condivisi e una rete interconnessa di reindirizzamenti.

Nonostante l’entità del problema, la protezione è praticamente inesistente. Le soluzioni MDM non possono impedire agli utenti di aggiungere i propri abbonamenti o persino di visualizzare quelli esistenti. Scansioni, filtri e analisi antivirus sono tutti ben sviluppati per la posta elettronica, ma sono praticamente inesistenti per i calendari, che sono percepiti come uno strumento presumibilmente sicuro.

Bitsight raccomanda a utenti e aziende di controllare regolarmente gli abbonamenti attivi, di trattare link e allegati negli eventi con la stessa cautela delle email, di implementare una policy per l’utilizzo di calendari di terze parti e, ove possibile, di bloccare gli abbonamenti sospetti a livello di rete. Ma la misura più importante è aumentare la consapevolezza: un calendario non è solo uno strumento comodo, ma un altro potenziale vettore di attacco attivamente sfruttato dai criminali informatici oggi. Comprendere le tecniche di ingegneria sociale aiuterà a contrastare tali minacce.

L'articolo 4 milioni di dispositivi Apple sotto tiro! I calendari digitali alleati degli hacker criminali proviene da Red Hot Cyber.

Attacco informatico ad ADC Aerospace: dati Militari USA a rischio

Il produttore americano di componenti per l’aviazione e la difesa ADC Aerospace si è ritrovato sotto i riflettori a causa di un possibile attacco informatico del gruppo ransomware Play, apparso nel loro blog dove gli hacker criminali affermano di aver compromesso dati aziendali e documenti dei clienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Immagine dal sito nel darkweb di Play Ransomware alle ore 11:27 del 01/12/2025 (Fonte Red Hot Cyber)
Secondo un post sul sito web del ransomware, è stato ottenuto l’accesso alla documentazione dei clienti, a informazioni finanziarie e di bilancio, a registri delle buste paga, a documenti di identità e ad altre informazioni personali riservate. Tuttavia, non è stata fornita alcuna prova sotto forma di campioni di file, quindi la veridicità di queste affermazioni non può essere attualmente verificata.

Tali annunci vengono spesso utilizzati come primo avvertimento alla vittima del furto dei suoi dati, seguito da pressioni per richiedere il pagamento di un riscatto.

Se la fuga di notizie venisse confermata, le conseguenze dell’incidente potrebbero essere gravi per ADC Aerospace. I dati rubati potrebbero essere messi in vendita sui mercati darknet, dove le informazioni sui contractor della difesa statunitense sono tradizionalmente molto richieste. I dati relativi ai pagamenti dei dipendenti, che contengono un ricco set di identificatori personali adatti al furto di identità, rappresentano un’ulteriore minaccia.
Dettaglio del post di Play Ransomware alle ore 11:27 del 01/12/2025 (Fonte Red Hot Cyber)
La combinazione di informazioni finanziarie e personali apre ampie opportunità per gli attacchi di ingegneria sociale. Gli aggressori ottengono le risorse per creare storie di copertura plausibili, anche quando tentano di impersonare rappresentanti del settore e di ottenere un accesso più approfondito ai sistemi interni.

I rischi sono particolarmente evidenti a causa della posizione di ADC Aerospace nella catena di fornitura. L’azienda fornisce componenti a colossi come Northrop Grumman , Collins Aerospace , Philips , Honeywell e altri importanti operatori del settore aerospaziale e della difesa, ampliando potenzialmente la gamma delle controparti interessate.

Il gruppo Play è considerato una delle operazioni ransomware più attive degli ultimi anni. Ad agosto, ha rivendicato la responsabilità di un attacco a Jamco Aerospace, un fornitore di componenti per aerei commerciali e militari che collabora, tra gli altri, con la Marina Militare statunitense, Boeing e Northrop Grumman. In precedenza, a Play sono stati attribuiti attacchi all’ufficio dello sceriffo della contea di Palo Alto in Iowa e al carcere di massima sicurezza Donald W. Wyatt nel Rhode Island, nonché al fornitore di servizi cloud Rackspace, alla catena alberghiera tedesca H-Hotels e alla filiale francese di BMW.

Secondo Adlumin, Play è stato uno dei primi gruppi a utilizzare la crittografia intermittente, che blocca solo porzioni specifiche del file system. Questo approccio accelera l’interruzione dell’infrastruttura e l’estrazione dei dati, ed è stato successivamente adottato da altri noti gruppi ransomware, tra cui ALPHV/BlackCat, DarkBit e BianLian.

ADC Aerospace non ha ancora rilasciato dichiarazioni ufficiali in merito alle accuse di ransomware. Cybernews non è riuscita a ottenere una risposta dall’azienda al momento della pubblicazione.

L'articolo Attacco informatico ad ADC Aerospace: dati Militari USA a rischio proviene da Red Hot Cyber.

Arriva la lavatrice per esseri umani! Dal Giappone un nuovo IoT da 300.000 dollari

L’azienda giapponese Science ha lanciato una lavatrice per esseri umani. La capsula lunga 2,30 metri lava una persona in 15 minuti e ha suscitato notevole interesse all’Expo di Osaka concluso recentemente. Il dispositivo è modellato sulla lavatrice per esseri umani presentata all’Expo del 1970, tenutasi sempre a Osaka.

Come riportato dal sito di notizie indiano NDTV. Si dice che il presidente di Science abbia visto questa capsula da bambino, cosa che a quanto pare gli ha lasciato un’impressione duratura. Gli utenti si sdraiano su un lettino all’interno della capsula e vengono poi ricoperti di schiuma e di una sottile nebbia.

Durante il lavaggio, vengono riprodotti musica rilassante ed effetti visivi. I sensori integrati monitorano la salute degli utenti per garantire la sicurezza. Al termine del lavaggio di 15 minuti, gli utenti vengono asciugati e possono lasciare la capsula pulita.

Il prezzo della lavatrice, secondo il Japan Times, secondo quanto riportato, è di circa 332.000 euro. Secondo il sito web, all’Expo di Osaka sono pervenute 40.000 richieste per utilizzarla.

Dato il suo prezzo, è improbabile che questo elettrodomestico diventi un oggetto domestico di massa. L’azienda ne è a conoscenza e quindi prevede di produrne solo 50 unità. Un hotel di Osaka ne avrebbe già acquistato uno e intende offrirlo ai suoi ospiti come esperienza.

Inoltre, il rivenditore di elettronica giapponese Yamada Denki prevede di vendere il dispositivo attraverso il suo negozio di Ikebukuro, come riportato dal Japan Times. Un’unità dimostrativa sarà disponibile nel negozio. Non è ancora noto quando la lavatrice sarà disponibile nei negozi

L'articolo Arriva la lavatrice per esseri umani! Dal Giappone un nuovo IoT da 300.000 dollari proviene da Red Hot Cyber.

⏳ 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "PROMPT ENGINEERING: dalle basi alla Cyber Security" in modalità E-Learning sulla nostra Academy!🚀

Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad academy@redhotcyber.com o contattaci su Whatsapp al numero di telefono: 379 163 8765.

📖 Scopri subito gli argomenti trattati nel corso: academy.redhotcyber.com/course…

#Formazione #PromptEngineering #CorsoAI #CyberSecurity #RedHotCyber #IntelligenzaArtificiale #CorsiOnline #AI #LifelongLearning #CorsiDiFormazione #Innovation #SkillUp