Sniper Dz Phishing-værktøjer
I løbet af det seneste år har forskere identificeret over 140.000 phishing-websteder, der er knyttet til en Phishing-as-a-Service (PhaaS) platform kendt som Sniper Dz, hvilket fremhæver dens udbredte brug blandt cyberkriminelle til legitimationstyveri.
Sniper Dz giver potentielle phishere et online adminpanel med en række phishing-skabeloner. Ifølge en teknisk rapport kan brugere enten bruge Sniper Dz's egne hostingtjenester til disse sider eller downloade skabelonerne til at køre på deres egne servere.
Platformens tiltrækningskraft forstærkes yderligere af det faktum, at disse tjenester tilbydes gratis. Bemærk dog, at de legitimationsoplysninger, der indsamles gennem disse phishing-websteder, sendes tilbage til operatørerne af PhaaS-platformen, en taktik, der af eksperter omtales som dobbelttyveri.
Indholdsfortegnelse
Cyberkriminelle stoler i stigende grad på PhaaS-platforme
Phishing-as-a-Service (PhaaS)-platforme bliver et stadig mere populært indgangspunkt for håbefulde cyberkriminelle, hvilket gør det muligt for personer med minimale tekniske færdigheder at iværksætte store phishing-angreb. Disse phishing-sæt er let tilgængelige til køb på Telegram, hvor dedikerede kanaler og grupper understøtter alle aspekter af angrebskæden, lige fra hostingtjenester til udsendelse af phishing-beskeder.
Sniper Dz er en sådan platform, der driver en Telegram-kanal, der kan prale af over 7.170 abonnenter pr. 1. oktober 2024. Denne kanal har været aktiv siden 25. maj 2020. Navnlig efter cybersikkerhedseksperternes rapport aktiverede administratorerne af denne kanal en automatisk sletningsfunktion, der fjerner indlæg efter en måned. Dette træk indikerer sandsynligvis et forsøg på at slette spor af deres aktiviteter, selvom tidligere meddelelser forbliver tilgængelige i chathistorikken. PhaaS-platformen er tilgængelig på clearnet, og dens brugere skal oprette en konto for at få adgang til dens 'taktik- og hackværktøjer'.
Videotutorials til phishing-værktøjer
En video uploadet til Vimeo i januar 2021 viser, at tjenesten giver klar til brug taktikskabeloner til en række online platforme, herunder X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat og PayPal, tilgængelige på engelsk , arabisk og fransk. Denne video har fået over 67.000 visninger til dato.
Derudover har forskere fundet vejledningsvideoer på YouTube, der guider seerne gennem de nødvendige trin for at downloade skabeloner fra Sniper Dz og oprette falske landingssider til spil som PUBG og Free Fire ved hjælp af legitime platforme såsom Google Blogger. Det er dog stadig uklart, om disse tutorial-skabere er tilknyttet udviklerne af Sniper Dz eller blot er brugere af tjenesten.
Hvordan Sniper Dz Phishing-værktøjer fungerer
Sniper Dz tilbyder muligheden for at hoste phishing-sider på sin egen infrastruktur, hvilket giver tilpassede links, der leder brugerne til disse sider. For at undgå opdagelse er disse websteder skjult bag en legitim proxy-server (proxymesh.com), konfigureret af Sniper Dz-gruppen til automatisk at indlæse phishing-indhold fra sin egen server uden direkte kommunikation.
Denne metode hjælper med at beskytte Sniper Dz's backend-servere, da ofrets browser eller en sikkerhedscrawler opfatter proxyserveren som ansvarlig for at levere phishing-nyttelasten. Alternativt kan cyberkriminelle downloade phishing-sideskabeloner som HTML-filer til offlinebrug og hoste dem på deres egne servere. Sniper Dz giver også yderligere værktøjer til at konvertere disse skabeloner til Blogger-formatet, hvilket gør det muligt at hoste dem på Blogspot-domæner.
Høstede legitimationsoplysninger vises i sidste ende på et adminpanel, der er tilgængeligt ved at logge ind på clearnet-webstedet. Eksperter har bemærket en stigning i phishing-aktivitet ved at bruge Sniper Dz, især rettet mod webbrugere i USA, som begyndte i juli 2024.
Phishing-siderne, der er forbundet med Sniper Dz, er designet til at eksfiltrere offerets legitimationsoplysninger og spore dem gennem en centraliseret infrastruktur, hvilket sandsynligvis hjælper Sniper Dz med at indsamle legitimationsoplysninger stjålet af phishere, der bruger deres PhaaS-platform.
