Strumenti di phishing di Sniper Dz
Nell'ultimo anno, i ricercatori hanno identificato oltre 140.000 siti web di phishing collegati a una piattaforma Phishing-as-a-Service (PhaaS) nota come Sniper Dz, evidenziandone l'uso diffuso tra i criminali informatici per il furto di credenziali.
Sniper Dz fornisce ai potenziali phisher un pannello di amministrazione online con una serie di modelli di phishing. Secondo un rapporto tecnico, gli utenti possono utilizzare i servizi di hosting di Sniper Dz per queste pagine o scaricare i modelli per eseguirli sui propri server.
L'attrattiva della piattaforma è ulteriormente accresciuta dal fatto che questi servizi sono offerti gratuitamente. Tuttavia, si noti che le credenziali raccolte tramite questi siti di phishing vengono rispedite agli operatori della piattaforma PhaaS, una tattica che gli esperti chiamano doppio furto.
Sommario
I criminali informatici si affidano sempre di più alle piattaforme PhaaS
Le piattaforme Phishing-as-a-Service (PhaaS) stanno diventando un punto di ingresso sempre più popolare per aspiranti criminali informatici, consentendo a individui con competenze tecniche minime di lanciare attacchi di phishing su larga scala. Questi kit di phishing sono prontamente disponibili per l'acquisto su Telegram, dove canali e gruppi dedicati supportano ogni aspetto della catena di attacco, dai servizi di hosting all'invio di messaggi di phishing.
Sniper Dz è una di queste piattaforme, che gestisce un canale Telegram che vanta oltre 7.170 iscritti al 1° ottobre 2024. Questo canale è attivo dal 25 maggio 2020. In particolare, in seguito al rapporto degli esperti di sicurezza informatica, gli amministratori di questo canale hanno attivato una funzione di eliminazione automatica che rimuove i post dopo un mese. Questa mossa indica probabilmente uno sforzo per cancellare le tracce delle loro attività, sebbene i messaggi precedenti rimangano accessibili nella cronologia della chat. La piattaforma PhaaS è disponibile sulla clearnet e i suoi utenti devono creare un account per accedere alle sue "tattiche e strumenti di hacking".
Video tutorial per gli strumenti di phishing
Un video caricato su Vimeo a gennaio 2021 dimostra che il servizio fornisce modelli di tattiche pronti all'uso per una varietà di piattaforme online, tra cui X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal, disponibili in inglese, arabo e francese. Questo video ha raccolto oltre 67.000 visualizzazioni fino ad oggi.
Inoltre, i ricercatori hanno trovato video tutorial su YouTube che guidano gli spettatori attraverso i passaggi necessari per scaricare modelli da Sniper Dz e creare false landing page per giochi come PUBG e Free Fire utilizzando piattaforme legittime come Google Blogger. Tuttavia, non è ancora chiaro se questi creatori di tutorial siano affiliati agli sviluppatori di Sniper Dz o siano semplicemente utenti del servizio.
Come funzionano gli strumenti di phishing di Sniper Dz
Sniper Dz offre la possibilità di ospitare pagine di phishing sulla propria infrastruttura, fornendo link personalizzati che indirizzano gli utenti a queste pagine. Per eludere il rilevamento, questi siti sono nascosti dietro un server proxy legittimo (proxymesh.com), configurato dal gruppo Sniper Dz per caricare automaticamente contenuti di phishing dal proprio server senza comunicazione diretta.
Questo metodo aiuta a proteggere i server backend di Sniper Dz, poiché il browser della vittima o un crawler di sicurezza percepisce il server proxy come responsabile della distribuzione del payload di phishing. In alternativa, i criminali informatici possono scaricare i modelli di pagina di phishing come file HTML per l'uso offline e ospitarli sui propri server. Sniper Dz fornisce anche strumenti aggiuntivi per convertire questi modelli nel formato Blogger, consentendo loro di essere ospitati su domini Blogspot.
Le credenziali raccolte vengono infine visualizzate su un pannello di amministrazione accessibile tramite l'accesso al sito clearnet. Gli esperti hanno notato un picco nell'attività di phishing che utilizza Sniper Dz, in particolare prendendo di mira gli utenti Web negli Stati Uniti, iniziato a luglio 2024.
Le pagine di phishing associate a Sniper Dz sono progettate per esfiltrare le credenziali delle vittime e tracciarle tramite un'infrastruttura centralizzata, aiutando probabilmente Sniper Dz a raccogliere le credenziali rubate dai phisher che utilizzano la loro piattaforma PhaaS.