Mais de 140.000 websites de phishing foram encontrados vinculados a uma plataforma de Phishing-as-a-Service (PhaaS) chamada Sniper Dz no último ano, indicando que ela está sendo usada por um grande número de criminosos cibernéticos para a prática de roubo de credenciais.
Para possíveis phishers, Sniper Dz oferece um painel de administração online com um catálogo de páginas de phishing", os pesquisadores da Palo Alto Networks Unit 42, Shehroze Farooqi, Howard Tong e Alex Starov, disseram em um relatório técnico.
Os phishers podem hospedar essas páginas de phishing na infraestrutura pertencente ao Sniper Dz ou baixar os templates de phishing do Sniper Dz para hospedar em seus próprios servidores. Talvez, o que torna isso ainda mais lucrativo é que esses serviços são fornecidos gratuitamente.
Dito isso, as credenciais colhidas usando os sites de phishing também são exfiltradas para os operadores da plataforma PhaaS, uma técnica que a Microsoft chama de roubo duplo.
Plataformas PhaaS têm se tornado uma forma cada vez mais comum de aspirantes a atores de ameaças entrarem no mundo do cibercrime, permitindo até mesmo aqueles com pouca expertise técnica realizar ataques de phishing em escala.
Esses kits de phishing podem ser adquiridos no Telegram, com canais e grupos dedicados a cada aspecto da cadeia de ataque, desde serviços de hospedagem até o envio de mensagens de phishing.
Sniper Dz não é exceção, sendo que os atores de ameaças operam um canal no Telegram com mais de 7.170 inscritos até o dia 1º de outubro de 2024.
O canal foi criado em 25 de maio de 2020.
Curiosamente, um dia após o relatório da Unit 42 ser publicado, os responsáveis pelo canal ativaram a opção de exclusão automática para limpar todos os posts após um mês automaticamente.
Isso provavelmente sugere uma tentativa de encobrir rastros de sua atividade, embora mensagens anteriores permaneçam intactas no histórico do chat.
A plataforma PhaaS é acessível na clearnet e requer a criação de uma conta para "obter seus golpes e ferramentas de hack", de acordo com a página inicial do site.
Um vídeo carregado no Vimeo em janeiro de 2021 mostra que o serviço oferece templates de scam prontos para uso para vários sites online como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal, nos idiomas inglês, árabe e francês.
O vídeo tem mais de 67.000 visualizações até agora.
Também foi identificado vídeos tutoriais carregados no YouTube que levam os espectadores através dos diferentes passos necessários para baixar templates do Sniper Dz e configurar páginas falsas de destino para PUBG e Free Fire em plataformas legítimas como o Google Blogger.
Entretanto, não está claro se eles têm alguma conexão com os desenvolvedores do Sniper Dz, ou se são apenas clientes do serviço.
Sniper Dz vem com a habilidade de hospedar páginas de phishing em sua própria infraestrutura e fornecer links personalizados apontando para essas páginas.
Esses sites são então escondidos atrás de um servidor proxy legítimo (proxymesh[.]com) para prevenir detecção.
"O grupo por trás do Sniper Dz configura esse servidor proxy para carregar automaticamente o conteúdo de phishing de seu próprio servidor sem comunicações diretas", disseram os pesquisadores.
Esta técnica pode ajudar o Sniper Dz a proteger seus servidores backend, uma vez que o navegador da vítima ou um rastreador de segurança verá o servidor proxy como responsável por carregar o payload de phishing. A outra opção para criminosos cibernéticos é baixar templates de página de phishing offline como arquivos HTML e hospedá-los em seus próprios servidores.
Além disso, o Sniper Dz oferece ferramentas adicionais para converter templates de phishing para o formato do Blogger que poderiam então ser hospedados em domínios do Blogspot.
As credenciais roubadas são, em última instância, exibidas em um painel de administração que pode ser acessado fazendo login no site da clearnet.
A Unit 42 disse que observou um aumento na atividade de phishing usando o Sniper Dz, visando principalmente usuários da web nos EUA, a partir de julho de 2024.
"As páginas de phishing do Sniper Dz exfiltram credenciais das vítimas e as rastreiam através de uma infraestrutura centralizada", disseram os pesquisadores.
Isso pode estar ajudando o Sniper Dz a coletar credenciais de vítimas roubadas por phishers que usam sua plataforma PhaaS. Este desenvolvimento ocorre enquanto a Cisco Talos revelou que atacantes estão abusando de páginas web conectadas à infraestrutura SMTP backend, como páginas de criação de conta e outras que disparam um email de volta para o usuário, para contornar filtros de spam e distribuir e-mails de phishing.
Esses ataques aproveitam a pobre validação de entrada e sanitização prevalente nessas formas web para incluir links maliciosos e texto.
Outras campanhas conduzem ataques de preenchimento de credenciais contra servidores de email de organizações legítimas a fim de ganhar acesso a contas de email e enviar spam.
"Muitos sites permitem que usuários criem uma conta e façam login para acessar recursos ou conteúdos específicos", disse o pesquisador da Talos, Jaeson Schultz.
Tipicamente, após o registro bem-sucedido do usuário, um email é disparado de volta ao usuário para confirmar a conta. Neste caso, os spammers sobrecarregaram o campo de nome com texto e um link, o que infelizmente não é validado ou sanitizado de forma alguma.
O e-mail resultante de volta à vítima contém o link do spammer. Isso também segue a descoberta de uma nova campanha de phishing por email que se aproveita de um documento do Microsoft Excel aparentemente inofensivo para propagar uma variante sem arquivo do Remcos RAT explorando uma falha de segurança conhecida (
CVE-2017-0199
).
"Ao abrir o arquivo [Excel], objetos OLE são usados para acionar o download e execução de um aplicativo HTA malicioso", disse o pesquisador da Trellix, Trishaan Kalra.
Este aplicativo HTA subsequentemente lança uma cadeia de comandos PowerShell que culmina na injeção de um Remcos RAT sem arquivo em um processo legítimo do Windows.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...