Ferramentas gratuitas de phishing do Sniper Dz alimentam mais de 140.000 ataques cibernéticos direcionados a credenciais de usuários
Mais de 140.000 sites de phishing foram encontrados vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de criminosos cibernéticos para realizar roubo de credenciais.
“Para possíveis phishers, o Sniper Dz oferece um painel de administração online com um catálogo de páginas de phishing”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Shehroze Farooqi, Howard Tong e Alex Starov, em um relatório técnico.
“Os phishers podem hospedar essas páginas de phishing na infraestrutura de propriedade do Sniper Dz ou baixar modelos de phishing do Sniper Dz para hospedar em seus próprios servidores.”
Talvez o que o torna ainda mais lucrativo é que esses serviços são fornecidos gratuitamente. Dito isso, as credenciais coletadas usando os sites de phishing também são exfiltradas para os operadores da plataforma PhaaS, uma técnica que a Microsoft chama de roubo duplo .
As plataformas PhaaS se tornaram uma forma cada vez mais comum para aspirantes a agentes de ameaças entrarem no mundo do crime cibernético, permitindo que até mesmo aqueles com pouca experiência técnica montem ataques de phishing em grande escala.
Esses kits de phishing podem ser adquiridos no Telegram , com canais e grupos dedicados que atendem a todos os aspectos da cadeia de ataque, desde serviços de hospedagem até o envio de mensagens de phishing.
O Sniper Dz não é exceção, pois os agentes da ameaça operam um canal no Telegram com mais de 7.170 assinantes em 1º de outubro de 2024. O canal foi criado em 25 de maio de 2020.
Curiosamente, um dia após o relatório da Unit 42 ir ao ar, as pessoas por trás do canal habilitaram a opção de auto-delete para limpar automaticamente todas as postagens após um mês. Isso provavelmente sugere uma tentativa de encobrir rastros de suas atividades, embora mensagens anteriores permaneçam intactas no histórico de bate-papo.
A plataforma PhaaS pode ser acessada na clearnet e exige a criação de uma conta para “obter seus golpes e ferramentas de hacking”, de acordo com a página inicial do site.
Um vídeo carregado no Vimeo em janeiro de 2021 mostra que o serviço oferece modelos de golpes prontos para uso para vários sites online como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal em inglês, árabe e francês. O vídeo tem mais de 67.000 visualizações até o momento.
O Hacker News também identificou vídeos tutoriais enviados ao YouTube que orientam os espectadores sobre as diferentes etapas necessárias para baixar modelos do Sniper Dz e configurar páginas de destino falsas para PUBG e Free Fire em plataformas legítimas como o Google Blogger.
No entanto, não está claro se eles têm alguma conexão com os desenvolvedores do Sniper Dz ou se são apenas clientes do serviço.
O Sniper Dz vem com a capacidade de hospedar páginas de phishing em sua própria infraestrutura e fornecer links personalizados apontando para essas páginas. Esses sites são então escondidos atrás de um servidor proxy legítimo (proxymesh[.]com) para evitar a detecção.
“O grupo por trás do Sniper Dz configura este servidor proxy para carregar automaticamente conteúdo de phishing de seu próprio servidor sem comunicação direta”, disseram os pesquisadores.
“Essa técnica pode ajudar o Sniper Dz a proteger seus servidores de backend, já que o navegador da vítima ou um rastreador de segurança verá o servidor proxy como responsável por carregar a carga de phishing.”
A outra opção para os cibercriminosos é baixar modelos de páginas de phishing offline como arquivos HTML e hospedá-los em seus próprios servidores. Além disso, o Sniper Dz oferece ferramentas adicionais para converter modelos de phishing para o formato Blogger que pode então ser hospedado em domínios do Blogspot.
As credenciais roubadas são finalmente exibidas em um painel de administração que pode ser acessado ao fazer login no site clearnet. A Unit 42 disse que observou um aumento na atividade de phishing usando o Sniper Dz, visando principalmente usuários da web nos EUA, a partir de julho de 2024.
“As páginas de phishing do Sniper Dz exfiltram credenciais de vítimas e as rastreiam por meio de uma infraestrutura centralizada”, disseram os pesquisadores. “Isso pode estar ajudando o Sniper Dz a coletar credenciais de vítimas roubadas por phishers que usam sua plataforma PhaaS.”
O desenvolvimento ocorre no momento em que o Cisco Talos revelou que os invasores estão abusando de páginas da web conectadas à infraestrutura SMTP de backend, como páginas de formulário de criação de conta e outras que enviam um e-mail de volta ao usuário, para contornar filtros de spam e distribuir e-mails de phishing.
Esses ataques aproveitam a validação e sanitização de entrada ruins prevalentes nesses formulários da web para incluir links e texto maliciosos. Outras campanhas conduzem ataques de preenchimento de credenciais contra servidores de e-mail de organizações legítimas para obter acesso a contas de e-mail e enviar spam.
“Muitos sites permitem que os usuários criem uma conta e façam login para acessar recursos ou conteúdo específicos”, disse o pesquisador do Talos, Jaeson Schultz . “Normalmente, após o registro bem-sucedido do usuário, um e-mail é enviado de volta ao usuário para confirmar a conta.”
“Neste caso, os spammers sobrecarregaram o campo de nome com texto e um link, que infelizmente não é validado ou higienizado de forma alguma. O e-mail resultante de volta para a vítima contém o link do spammer.”
Também ocorre após a descoberta de uma nova campanha de phishing por e-mail que utiliza um documento aparentemente inofensivo do Microsoft Excel para propagar uma variante sem arquivo do Remcos RAT , explorando uma falha de segurança conhecida ( CVE-2017-0199 ).
“Ao abrir o arquivo [Excel], objetos OLE são usados para disparar o download e a execução de um aplicativo HTA malicioso”, disse o pesquisador da Trellix Trishaan Kalra . “Esse aplicativo HTA subsequentemente inicia uma cadeia de comandos do PowerShell que culminam na injeção de um Remcos RAT sem arquivo em um processo legítimo do Windows.”
Fonte: thehackernews.com
