Инструменти за фишинг Sniper Dz
През изминалата година изследователите са идентифицирали над 140 000 фишинг уебсайта, свързани с платформа Phishing-as-a-Service (PhaaS), известна като Sniper Dz, което подчертава широкото й използване сред киберпрестъпниците за кражба на идентификационни данни.
Sniper Dz предоставя на бъдещите фишъри онлайн административен панел, включващ редица шаблони за фишинг. Според технически доклад потребителите могат или да използват собствените хостинг услуги на Sniper Dz за тези страници, или да изтеглят шаблоните, за да работят на собствените си сървъри.
Привлекателността на платформата се засилва допълнително от факта, че тези услуги се предлагат безплатно. Имайте предвид обаче, че идентификационните данни, събрани чрез тези фишинг сайтове, се изпращат обратно на операторите на платформата PhaaS, тактика, наричана от експертите двойна кражба.
Съдържание
Киберпрестъпниците разчитат все повече на PhaaS платформи
Платформите Phishing-as-a-Service (PhaaS) стават все по-популярна входна точка за амбициозни киберпрестъпници, позволявайки на лица с минимални технически умения да стартират широкомащабни фишинг атаки. Тези фишинг комплекти са лесно достъпни за закупуване в Telegram, където специални канали и групи поддържат всеки аспект от веригата на атаката, от хостинг услуги до изпращане на фишинг съобщения.
Sniper Dz е една такава платформа, управляваща канал в Telegram, който може да се похвали с над 7170 абонати към 1 октомври 2024 г. Този канал е активен от 25 май 2020 г. По-специално, след доклада на експертите по киберсигурност, администраторите на този канал активираха функция за автоматично изтриване, която премахва публикации след един месец. Този ход вероятно показва усилие да се изтрият следите от техните дейности, въпреки че по-ранните съобщения остават достъпни в историята на чата. Платформата PhaaS е достъпна в clearnet и нейните потребители трябва да създадат акаунт за достъп до нейните „тактики и инструменти за хакване“.
Видео уроци за инструментите за фишинг
Видеоклип, качен във Vimeo през януари 2021 г., показва, че услугата предоставя готови за използване тактически шаблони за различни онлайн платформи, включително X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat и PayPal, налични на английски език , арабски и френски. Този видеоклип е събрал над 67 000 гледания до момента.
Освен това, изследователите са открили обучителни видеоклипове в YouTube, които водят зрителите през стъпките, необходими за изтегляне на шаблони от Sniper Dz и създаване на фалшиви целеви страници за игри като PUBG и Free Fire, използвайки законни платформи като Google Blogger. Въпреки това остава неясно дали тези създатели на уроци са свързани с разработчиците на Sniper Dz или просто са потребители на услугата.
Как работят инструментите за фишинг Sniper Dz
Sniper Dz предлага възможността да хоства фишинг страници в собствената си инфраструктура, предоставяйки персонализирани връзки, които насочват потребителите към тези страници. За да избегнат откриването, тези сайтове са скрити зад легитимен прокси сървър (proxymesh.com), конфигуриран от групата Sniper Dz да зарежда автоматично фишинг съдържание от собствения си сървър без директна комуникация.
Този метод помага за защитата на задните сървъри на Sniper Dz, тъй като браузърът на жертвата или роботът за сигурност възприема прокси сървъра като отговорен за доставянето на фишинг полезен товар. Като алтернатива киберпрестъпниците могат да изтеглят шаблони за фишинг страници като HTML файлове за офлайн употреба и да ги хостват на собствените си сървъри. Sniper Dz предоставя и допълнителни инструменти за конвертиране на тези шаблони във формат Blogger, позволявайки им да бъдат хоствани в домейни на Blogspot.
Събраните идентификационни данни в крайна сметка се показват в административен панел, достъпен чрез влизане в сайта на clearnet. Експертите отбелязаха скок във фишинг дейността, използваща Sniper Dz, особено насочена към уеб потребители в САЩ, която започна през юли 2024 г.
Фишинг страниците, свързани със Sniper Dz, са предназначени да ексфилтрират идентификационни данни на жертвите и да ги проследяват чрез централизирана инфраструктура, като вероятно помагат на Sniper Dz да събере идентификационни данни, откраднати от фишъри, които използват тяхната платформа PhaaS.
