Sniper Dz Nätfiskeverktyg
Under det senaste året har forskare identifierat över 140 000 nätfiskewebbplatser kopplade till en Phishing-as-a-Service (PhaaS)-plattform känd som Sniper Dz, vilket lyfter fram dess utbredda användning bland cyberbrottslingar för identitetsstöld.
Sniper Dz förser potentiella nätfiske med en online-adminpanel med en rad nätfiskemallar. Enligt en teknisk rapport kan användare antingen använda Sniper Dz:s egna värdtjänster för dessa sidor eller ladda ner mallarna för att köra på sina egna servrar.
Plattformens attraktionskraft förstärks ytterligare av det faktum att dessa tjänster erbjuds gratis. Observera dock att referenserna som samlas in via dessa nätfiskewebbplatser skickas tillbaka till operatörerna av PhaaS-plattformen, en taktik som av experter kallas dubbel stöld.
Innehållsförteckning
Cyberbrottslingar förlitar sig alltmer på PhaaS-plattformar
Phishing-as-a-Service-plattformar (PhaaS) blir en alltmer populär ingångspunkt för blivande cyberbrottslingar, vilket gör det möjligt för individer med minimal teknisk kompetens att starta storskaliga nätfiskeattacker. Dessa nätfiske-kit är lätt tillgängliga att köpa på Telegram, där dedikerade kanaler och grupper stödjer alla aspekter av attackkedjan, från värdtjänster till att skicka ut nätfiskemeddelanden.
Sniper Dz är en sådan plattform som driver en Telegram-kanal som har över 7 170 prenumeranter från och med den 1 oktober 2024. Denna kanal har varit aktiv sedan den 25 maj 2020. I synnerhet, efter cybersäkerhetsexperternas rapport, aktiverade administratörerna för denna kanal en automatisk raderingsfunktion som tar bort inlägg efter en månad. Detta drag indikerar troligen ett försök att radera spår av deras aktiviteter, även om tidigare meddelanden fortfarande är tillgängliga i chatthistoriken. PhaaS-plattformen är tillgänglig på clearnet och dess användare måste skapa ett konto för att komma åt dess "taktik- och hackverktyg".
Videosjälvstudier för nätfiskeverktygen
En video som laddades upp till Vimeo i januari 2021 visar att tjänsten tillhandahåller färdiga taktikmallar för en mängd olika onlineplattformar, inklusive X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat och PayPal, tillgängliga på engelska , arabiska och franska. Den här videon har hittills fått över 67 000 visningar.
Dessutom har forskare hittat instruktionsvideor på YouTube som guidar tittarna genom stegen som behövs för att ladda ner mallar från Sniper Dz och skapa falska målsidor för spel som PUBG och Free Fire med legitima plattformar som Google Blogger. Det är dock fortfarande oklart om dessa tutorialskapare är anslutna till utvecklarna av Sniper Dz eller helt enkelt är användare av tjänsten.
Hur Sniper Dz Phishing-verktyg fungerar
Sniper Dz erbjuder möjligheten att vara värd för nätfiskesidor i sin egen infrastruktur, och tillhandahåller anpassade länkar som leder användare till dessa sidor. För att undvika upptäckt är dessa webbplatser dolda bakom en legitim proxyserver (proxymesh.com), konfigurerad av Sniper Dz-gruppen för att automatiskt ladda nätfiskeinnehåll från sin egen server utan direkt kommunikation.
Denna metod hjälper till att skydda Sniper Dz:s backend-servrar, eftersom offrets webbläsare eller en säkerhetssökrobot uppfattar proxyservern som ansvarig för att leverera nätfiskenyttolasten. Alternativt kan cyberbrottslingar ladda ner mallar för nätfiskesida som HTML-filer för offlineanvändning och vara värd för dem på sina egna servrar. Sniper Dz tillhandahåller också ytterligare verktyg för att konvertera dessa mallar till Blogger-formatet, vilket gör att de kan lagras på Blogspot-domäner.
Skördade referenser visas i slutändan på en adminpanel som är tillgänglig genom att logga in på clearnet-webbplatsen. Experter har noterat en ökning av nätfiskeaktiviteten med hjälp av Sniper Dz, särskilt inriktad på webbanvändare i USA, som började i juli 2024.
Nätfiskesidorna som är associerade med Sniper Dz är designade för att exfiltrera offrets autentiseringsuppgifter och spåra dem genom en centraliserad infrastruktur, vilket troligen hjälper Sniper Dz att samla in autentiseringsuppgifter som stulits av nätfiskare som använder deras PhaaS-plattform.
