Sniper Dz Phishing Tools
No ano passado, pesquisadores identificaram mais de 140.000 sites de phishing vinculados a uma plataforma de phishing como serviço (PhaaS) conhecida como Sniper Dz, destacando seu uso generalizado entre criminosos cibernéticos para roubo de credenciais.
O Sniper Dz fornece aos phishers em potencial um painel de administração online com uma variedade de modelos de phishing. De acordo com um relatório técnico, os usuários podem utilizar os próprios serviços de hospedagem do Sniper Dz para essas páginas ou baixar os modelos para rodar em seus próprios servidores.
O apelo da plataforma é ainda mais reforçado pelo fato de que esses serviços são oferecidos gratuitamente. No entanto, observe que as credenciais coletadas por meio desses sites de phishing são enviadas de volta aos operadores da plataforma PhaaS, uma tática chamada por especialistas de roubo duplo.
Índice
Os Cibercriminosos Dependem Cada Vez Mais das Plataformas PhaaS
Plataformas de Phishing-as-a-Service (PhaaS) estão se tornando um ponto de entrada cada vez mais popular para aspirantes a criminosos cibernéticos, permitindo que indivíduos com habilidades técnicas mínimas lancem ataques de phishing em larga escala. Esses kits de phishing estão prontamente disponíveis para compra no Telegram, onde canais e grupos dedicados dão suporte a todos os aspectos da cadeia de ataque, desde serviços de hospedagem até o envio de mensagens de phishing.
Sniper Dz é uma dessas plataformas, operando um canal do Telegram que ostenta mais de 7.170 assinantes em 1º de outubro de 2024. Este canal está ativo desde 25 de maio de 2020. Notavelmente, após o relatório dos especialistas em segurança cibernética, os administradores deste canal ativaram um recurso de exclusão automática que remove postagens após um mês. Esta mudança provavelmente indica um esforço para apagar rastros de suas atividades, embora mensagens anteriores permaneçam acessíveis no histórico de bate-papo. A plataforma PhaaS está disponível na clearnet e seus usuários devem criar uma conta para acessar suas 'táticas e ferramentas de hack'.
Tutoriais em Vídeo para Ferramentas de Phishing
Um vídeo carregado no Vimeo em janeiro de 2021 demonstra que o serviço fornece modelos de táticas prontos para uso para uma variedade de plataformas online, incluindo X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal, disponíveis em inglês, árabe e francês. Este vídeo obteve mais de 67.000 visualizações até o momento.
Além disso, pesquisadores encontraram vídeos tutoriais no YouTube que guiam os espectadores pelas etapas necessárias para baixar modelos do Sniper Dz e criar páginas de destino falsas para jogos como PUBG e Free Fire usando plataformas legítimas como o Google Blogger. No entanto, ainda não está claro se esses criadores de tutoriais são afiliados aos desenvolvedores do Sniper Dz ou são simplesmente usuários do serviço.
Como Funcionam as Ferramentas de Phishing do Sniper Dz
O Sniper Dz oferece a capacidade de hospedar páginas de phishing em sua própria infraestrutura, fornecendo links personalizados que direcionam os usuários para essas páginas. Para evitar a detecção, esses sites são ocultados atrás de um servidor proxy legítimo (proxymesh.com), configurado pelo grupo Sniper Dz para carregar automaticamente o conteúdo de phishing de seu próprio servidor sem comunicação direta.
Este método ajuda a proteger os servidores backend do Sniper Dz, pois o navegador da vítima ou um rastreador de segurança percebe o servidor proxy como responsável por entregar a carga de phishing. Alternativamente, os cibercriminosos podem baixar modelos de páginas de phishing como arquivos HTML para uso offline e hospedá-los em seus próprios servidores. O Sniper Dz também fornece ferramentas adicionais para converter esses modelos para o formato Blogger, permitindo que sejam hospedados em domínios do Blogspot.
As credenciais coletadas são exibidas em um painel de administração acessível por meio do login no site clearnet. Especialistas notaram um pico na atividade de phishing utilizando o Sniper Dz, particularmente visando usuários da Web nos EUA, que começou em julho de 2024.
As páginas de phishing associadas ao Sniper Dz são projetadas para exfiltrar credenciais de vítimas e rastreá-las por meio de uma infraestrutura centralizada, provavelmente auxiliando o Sniper Dz a coletar credenciais roubadas por phishers que utilizam sua plataforma PhaaS.
