Gli attaccanti mirano a rubare i dati finanziari degli utenti, presentando una pagina web malevola dove le vittime devono selezionare la propria banca da un elenco di undici istituti. Dopo la selezione, l’utente viene reindirizzato a una finta pagina di accesso che ruba le credenziali bancarie, inviandole a un bot Telegram gestito dagli attaccanti. Come azioni di contrasto, l’Agenzia delle Entrate è stata informata, è stata richiesta la disattivazione del dominio al Registrar e gli Indicatori di Compromissione (IoC) sono stati distribuiti agli enti accreditati.