Инструменты фишинга Sniper Dz
За последний год исследователи выявили более 140 000 фишинговых сайтов, связанных с платформой «Фишинг как услуга» (PhaaS), известной как Sniper Dz, что подчеркивает ее широкое использование киберпреступниками для кражи учетных данных.
Sniper Dz предоставляет потенциальным фишерам онлайн-панель администратора с набором фишинговых шаблонов. Согласно техническому отчету, пользователи могут либо использовать собственные хостинговые услуги Sniper Dz для этих страниц, либо загрузить шаблоны для запуска на своих собственных серверах.
Привлекательность платформы еще больше усиливается тем фактом, что эти услуги предоставляются бесплатно. Однако следует отметить, что учетные данные, собранные через эти фишинговые сайты, отправляются обратно операторам платформы PhaaS, тактика, которую эксперты называют двойной кражей.
Оглавление
Киберпреступники все чаще используют платформы PhaaS
Платформы Phishing-as-a-Service (PhaaS) становятся все более популярной точкой входа для начинающих киберпреступников, позволяя людям с минимальными техническими навыками запускать крупномасштабные фишинговые атаки. Эти фишинговые наборы легко доступны для покупки в Telegram, где выделенные каналы и группы поддерживают каждый аспект цепочки атак, от хостинговых услуг до рассылки фишинговых сообщений.
Sniper Dz — одна из таких платформ, управляющая каналом Telegram, насчитывающим более 7170 подписчиков по состоянию на 1 октября 2024 года. Этот канал активен с 25 мая 2020 года. Примечательно, что после отчета экспертов по кибербезопасности администраторы этого канала активировали функцию автоматического удаления, которая удаляет сообщения через месяц. Этот шаг, вероятно, указывает на попытку стереть следы своей деятельности, хотя более ранние сообщения остаются доступными в истории чата. Платформа PhaaS доступна в открытой сети, и ее пользователи должны создать учетную запись для доступа к ее «тактике и инструментам взлома».
Видеоуроки по фишинговым инструментам
Видео, загруженное на Vimeo в январе 2021 года, демонстрирует, что сервис предоставляет готовые к использованию шаблоны тактик для различных онлайн-платформ, включая X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat и PayPal, доступные на английском, арабском и французском языках. На сегодняшний день это видео собрало более 67 000 просмотров.
Кроме того, исследователи обнаружили на YouTube обучающие видеоролики, которые знакомят зрителей с этапами загрузки шаблонов из Sniper Dz и создания поддельных целевых страниц для таких игр, как PUBG и Free Fire, с использованием легитимных платформ, таких как Google Blogger. Однако остается неясным, связаны ли эти создатели обучающих видеороликов с разработчиками Sniper Dz или являются просто пользователями сервиса.
Как работают фишинговые инструменты Sniper Dz
Sniper Dz предлагает возможность размещать фишинговые страницы на своей собственной инфраструктуре, предоставляя настраиваемые ссылки, направляющие пользователей на эти страницы. Чтобы избежать обнаружения, эти сайты скрываются за легитимным прокси-сервером (proxymesh.com), настроенным группой Sniper Dz для автоматической загрузки фишингового контента с собственного сервера без прямого взаимодействия.
Этот метод помогает защитить внутренние серверы Sniper Dz, поскольку браузер жертвы или поисковый робот безопасности воспринимают прокси-сервер как ответственный за доставку фишинговой нагрузки. В качестве альтернативы киберпреступники могут загружать шаблоны фишинговых страниц как HTML-файлы для использования в автономном режиме и размещать их на своих серверах. Sniper Dz также предоставляет дополнительные инструменты для преобразования этих шаблонов в формат Blogger, что позволяет размещать их на доменах Blogspot.
Собранные учетные данные в конечном итоге отображаются на панели администратора, доступной при входе на сайт clearnet. Эксперты отметили всплеск фишинговой активности с использованием Sniper Dz, особенно нацеленной на веб-пользователей в США, который начался в июле 2024 года.
Фишинговые страницы, связанные со Sniper Dz, предназначены для извлечения учетных данных жертв и отслеживания их через централизованную инфраструктуру, что, вероятно, помогает Sniper Dz собирать учетные данные, украденные фишерами, использующими их платформу PhaaS.
