Sniper Dz Phishing-hulpmiddelen
Het afgelopen jaar hebben onderzoekers meer dan 140.000 phishingwebsites geïdentificeerd die zijn gekoppeld aan een Phishing-as-a-Service (PhaaS)-platform dat bekendstaat als Sniper Dz. Dit onderstreept het wijdverbreide gebruik ervan door cybercriminelen voor het stelen van inloggegevens.
Sniper Dz biedt potentiële phishers een online admin-paneel met een reeks phishing-sjablonen. Volgens een technisch rapport kunnen gebruikers de eigen hostingdiensten van Sniper Dz voor deze pagina's gebruiken of de sjablonen downloaden om op hun eigen servers te draaien.
De aantrekkingskracht van het platform wordt nog eens versterkt door het feit dat deze diensten gratis worden aangeboden. Let wel, de inloggegevens die via deze phishingsites worden verzameld, worden teruggestuurd naar de operators van het PhaaS-platform, een tactiek die door experts dubbele diefstal wordt genoemd.
Inhoudsopgave
Cybercriminelen vertrouwen steeds meer op PhaaS-platforms
Phishing-as-a-Service (PhaaS)-platforms worden een steeds populairder instappunt voor beginnende cybercriminelen, waardoor personen met minimale technische vaardigheden grootschalige phishingaanvallen kunnen uitvoeren. Deze phishingkits zijn direct te koop op Telegram, waar speciale kanalen en groepen elk aspect van de aanvalsketen ondersteunen, van hostingdiensten tot het verzenden van phishingberichten.
Sniper Dz is zo'n platform, dat een Telegram-kanaal exploiteert dat meer dan 7.170 abonnees had op 1 oktober 2024. Dit kanaal is actief sinds 25 mei 2020. Opvallend is dat de beheerders van dit kanaal, na het rapport van de cybersecurity-experts, een functie voor automatisch verwijderen hebben geactiveerd die berichten na een maand verwijdert. Deze stap duidt waarschijnlijk op een poging om sporen van hun activiteiten te wissen, hoewel eerdere berichten nog steeds toegankelijk zijn in de chatgeschiedenis. Het PhaaS-platform is beschikbaar op het clearnet en de gebruikers moeten een account aanmaken om toegang te krijgen tot de 'tactieken en hacktools'.
Videotutorials voor de phishingtools
Een video die in januari 2021 op Vimeo werd geüpload, laat zien dat de service kant-en-klare tactieksjablonen biedt voor verschillende online platforms, waaronder X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat en PayPal, beschikbaar in het Engels, Arabisch en Frans. Deze video is tot nu toe meer dan 67.000 keer bekeken.
Daarnaast hebben onderzoekers tutorialvideo's op YouTube gevonden die kijkers door de stappen leiden die nodig zijn om sjablonen van Sniper Dz te downloaden en nep-landingspagina's te maken voor games zoals PUBG en Free Fire met behulp van legitieme platforms zoals Google Blogger. Het blijft echter onduidelijk of deze tutorialmakers gelieerd zijn aan de ontwikkelaars van Sniper Dz of gewoon gebruikers van de service zijn.
Hoe de Sniper Dz Phishing Tools werken
Sniper Dz biedt de mogelijkheid om phishingpagina's op zijn eigen infrastructuur te hosten, met aangepaste links die gebruikers naar deze pagina's leiden. Om detectie te ontwijken, worden deze sites verborgen achter een legitieme proxyserver (proxymesh.com), geconfigureerd door de Sniper Dz-groep om automatisch phishinginhoud van zijn eigen server te laden zonder directe communicatie.
Deze methode helpt de backendservers van Sniper Dz te beschermen, omdat de browser van het slachtoffer of een beveiligingscrawler de proxyserver als verantwoordelijk ziet voor het leveren van de phishing-payload. Cybercriminelen kunnen ook phishingpaginasjablonen downloaden als HTML-bestanden voor offline gebruik en deze op hun eigen servers hosten. Sniper Dz biedt ook extra tools om deze sjablonen om te zetten in het Blogger-formaat, zodat ze op Blogspot-domeinen kunnen worden gehost.
Geoogste inloggegevens worden uiteindelijk weergegeven op een admin-paneel dat toegankelijk is door in te loggen op de clearnet-site. Experts hebben een piek opgemerkt in phishing-activiteiten met behulp van Sniper Dz, met name gericht op webgebruikers in de VS, die begon in juli 2024.
De phishingpagina's die aan Sniper Dz zijn gekoppeld, zijn ontworpen om de inloggegevens van slachtoffers te stelen en deze via een gecentraliseerde infrastructuur te volgen. Dit helpt Sniper Dz waarschijnlijk bij het verzamelen van inloggegevens die zijn gestolen door phishers die gebruikmaken van hun PhaaS-platform.
