Sniper Dz Narzędzia phishingowe
W ciągu ostatniego roku badacze zidentyfikowali ponad 140 000 witryn phishingowych powiązanych z platformą Phishing-as-a-Service (PhaaS) znaną jako Sniper Dz, co wskazuje na jej powszechne wykorzystanie przez cyberprzestępców w celu kradzieży danych uwierzytelniających.
Sniper Dz zapewnia potencjalnym phisherom internetowy panel administracyjny zawierający szereg szablonów phishingowych. Według raportu technicznego użytkownicy mogą albo wykorzystać własne usługi hostingowe Sniper Dz dla tych stron, albo pobrać szablony do uruchomienia na własnych serwerach.
Atrakcyjność platformy jest dodatkowo zwiększana przez fakt, że usługi te są oferowane za darmo. Należy jednak pamiętać, że dane uwierzytelniające zebrane za pośrednictwem tych witryn phishingowych są odsyłane do operatorów platformy PhaaS, co eksperci określają jako podwójną kradzież.
Spis treści
Cyberprzestępcy coraz częściej korzystają z platform PhaaS
Platformy Phishing-as-a-Service (PhaaS) stają się coraz popularniejszym punktem wejścia dla początkujących cyberprzestępców, umożliwiając osobom o minimalnych umiejętnościach technicznych przeprowadzanie ataków phishingowych na dużą skalę. Te zestawy phishingowe są łatwo dostępne do kupienia w Telegramie, gdzie dedykowane kanały i grupy obsługują każdy aspekt łańcucha ataków, od usług hostingowych po wysyłanie wiadomości phishingowych.
Sniper Dz to jedna z takich platform, obsługująca kanał Telegram, który szczyci się ponad 7170 subskrybentami od 1 października 2024 r. Ten kanał jest aktywny od 25 maja 2020 r. Co ciekawe, po raporcie ekspertów ds. cyberbezpieczeństwa administratorzy tego kanału aktywowali funkcję automatycznego usuwania, która usuwa posty po miesiącu. Ten ruch prawdopodobnie wskazuje na próbę usunięcia śladów ich działań, chociaż wcześniejsze wiadomości pozostają dostępne w historii czatu. Platforma PhaaS jest dostępna w sieci clearnet, a jej użytkownicy muszą utworzyć konto, aby uzyskać dostęp do jej „taktyk i narzędzi hakerskich”.
Samouczki wideo dotyczące narzędzi phishingowych
Film przesłany do Vimeo w styczniu 2021 r. pokazuje, że usługa zapewnia gotowe do użycia szablony taktyk dla różnych platform internetowych, w tym X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat i PayPal, dostępne w języku angielskim, arabskim i francuskim. Ten film do tej pory obejrzało ponad 67 000 osób.
Ponadto badacze znaleźli filmy instruktażowe na YouTube, które prowadzą widzów przez kroki potrzebne do pobrania szablonów ze Sniper Dz i tworzenia fałszywych stron docelowych dla gier takich jak PUBG i Free Fire przy użyciu legalnych platform, takich jak Google Blogger. Nadal jednak nie jest jasne, czy twórcy tych samouczków są powiązani z twórcami Sniper Dz, czy są po prostu użytkownikami tej usługi.
Jak działają narzędzia phishingowe Sniper Dz
Sniper Dz oferuje możliwość hostowania stron phishingowych na własnej infrastrukturze, zapewniając dostosowane linki, które kierują użytkowników do tych stron. Aby uniknąć wykrycia, te strony są ukryte za legalnym serwerem proxy (proxymesh.com), skonfigurowanym przez grupę Sniper Dz do automatycznego ładowania treści phishingowych z własnego serwera bez bezpośredniej komunikacji.
Ta metoda pomaga chronić serwery back-endowe Sniper Dz, ponieważ przeglądarka ofiary lub crawler bezpieczeństwa postrzega serwer proxy jako odpowiedzialny za dostarczenie ładunku phishingowego. Alternatywnie cyberprzestępcy mogą pobrać szablony stron phishingowych jako pliki HTML do użytku offline i hostować je na własnych serwerach. Sniper Dz zapewnia również dodatkowe narzędzia do konwersji tych szablonów do formatu Bloggera, umożliwiając ich hostowanie w domenach Blogspot.
Zebrane dane uwierzytelniające są ostatecznie wyświetlane na panelu administracyjnym dostępnym po zalogowaniu się do witryny clearnet. Eksperci zauważyli wzrost aktywności phishingowej wykorzystującej Sniper Dz, szczególnie skierowanej do użytkowników sieci w USA, która rozpoczęła się w lipcu 2024 r.
Strony phishingowe powiązane ze Sniper Dz mają na celu wykradanie danych uwierzytelniających ofiary i śledzenie ich za pomocą scentralizowanej infrastruktury. Prawdopodobnie pomaga to Sniper Dz w gromadzeniu danych uwierzytelniających skradzionych przez phisherów wykorzystujących platformę PhaaS.
