Uma operação liderada pela INTERPOL no mês passado resultou na interrupção da Sniper Dz, uma plataforma de phishing as a service (PhaaS) que operava havia uma década, informou a Group-IB na quinta-feira.
A ação, codinome Operação Ramz, ocorreu entre outubro de 2025 e fevereiro de 2026 e levou autoridades de 13 países da região do Oriente Médio e Norte da África (MENA) a efetuar 201 prisões.
Entre os detidos está Guedz, principal desenvolvedor e administrador da Sniper Dz, serviço de PhaaS que teria reunido mais de 45.000 registros de vítimas.
A prisão foi realizada pela Polícia Nacional da Argélia.
Ao longo dos anos, a plataforma mudou de nome para Joker Dz, Storm Dz e Spam Dz.
Como parte da Operação Ramz, o site usado para oferecer recursos de PhaaS a outros cibercriminosos foi retirado do ar.
As autoridades também apreenderam equipamentos com software e scripts de phishing.
“Em atividade desde pelo menos 2015, a Sniper Dz evoluiu para uma plataforma criminosa sofisticada, oferecendo kits de phishing prontos para uso, infraestrutura de hospedagem e suporte operacional a cibercriminosos”, afirmou a empresa de cibersegurança sediada em Singapura.
Desde então, mais de 20.000 domínios exclusivos associados ao serviço de PhaaS foram identificados.
O conjunto de ferramentas mirava principalmente 30 grandes organizações globais, incluindo PayPal, Facebook, Instagram, Yahoo, Netflix e Steam, com o uso de 80 modelos de phishing distribuídos em cinco idiomas, entre eles árabe, inglês, francês, espanhol e hebraico.
As campanhas de phishing que usavam a Sniper Dz miravam usuários de plataformas de tecnologia, redes sociais e streaming em várias regiões.
Para isso, imitavam marcas conhecidas e órgãos governamentais por meio de sites falsos convincentes, com o objetivo de obter credenciais, informações pessoais e outros dados sensíveis.
“Além do roubo tradicional de credenciais, a plataforma também explorava técnicas de engenharia social que se aproveitavam da popularidade e da credibilidade de figuras públicas no Oriente Médio e Norte da África”, explicou a Group-IB.
“Os threat actors criavam contas falsas em redes sociais, se passando por personalidades políticas conhecidas, e as usavam para divulgar links de phishing disfarçados de ofertas promocionais ou acesso gratuito à internet.”
A Sniper Dz foi alvo de uma análise detalhada da Unidade 42 da Palo Alto Networks em outubro de 2024, que descreveu o uso, pelo threat actor, de um canal no Telegram com mais de 7.300 assinantes para compartilhar vídeos tutoriais e as opções oferecidas para hospedar as páginas de phishing em sua própria infraestrutura, atrás de um servidor proxy.
O que diferenciava a Sniper Dz de outras ofertas em um mercado de PhaaS já saturado era o fato de disponibilizar toda a sua infraestrutura gratuitamente, facilitando a execução de campanhas de phishing em larga escala por aspirantes a cibercriminosos.
A monetização, por sua vez, dependia do roubo de credenciais e do tráfego das vítimas.
“As credenciais roubadas podiam ser coletadas por meio de campanhas de phishing, enquanto usuários que não fornecessem suas credenciais ainda podiam ser redirecionados para fraudes de cobrança na conta telefônica, assinaturas de SMS premium, esquemas de abuso de notificações do navegador e outras campanhas de fraude baseadas em programas de afiliados”, disse a Group-IB.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...