Ferramentas gratuitas de phishing do Sniper Dz alimentam mais de 140.000 ataques cibernéticos direcionados a credenciais de usuários

Sticky 01/10/2024
phishing
Visualizações: 0

Mais de 140.000 sites de phishing foram encontrados vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de criminosos cibernéticos para realizar roubo de credenciais.

“Para possíveis phishers, o Sniper Dz oferece um painel de administração online com um catálogo de páginas de phishing”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Shehroze Farooqi, Howard Tong e Alex Starov, em um relatório técnico.

“Os phishers podem hospedar essas páginas de phishing na infraestrutura de propriedade do Sniper Dz ou baixar modelos de phishing do Sniper Dz para hospedar em seus próprios servidores.”

Talvez o que o torna ainda mais lucrativo é que esses serviços são fornecidos gratuitamente. Dito isso, as credenciais coletadas usando os sites de phishing também são exfiltradas para os operadores da plataforma PhaaS, uma técnica que a Microsoft chama de roubo duplo .

As plataformas PhaaS se tornaram uma forma cada vez mais comum para aspirantes a agentes de ameaças entrarem no mundo do crime cibernético, permitindo que até mesmo aqueles com pouca experiência técnica montem ataques de phishing em grande escala.

Esses kits de phishing podem ser adquiridos no Telegram , com canais e grupos dedicados que atendem a todos os aspectos da cadeia de ataque, desde serviços de hospedagem até o envio de mensagens de phishing.

O Sniper Dz não é exceção, pois os agentes da ameaça operam um canal no Telegram com mais de 7.170 assinantes em 1º de outubro de 2024. O canal foi criado em 25 de maio de 2020.

Curiosamente, um dia após o relatório da Unit 42 ir ao ar, as pessoas por trás do canal habilitaram a opção de auto-delete para limpar automaticamente todas as postagens após um mês. Isso provavelmente sugere uma tentativa de encobrir rastros de suas atividades, embora mensagens anteriores permaneçam intactas no histórico de bate-papo.

A plataforma PhaaS pode ser acessada na clearnet e exige a criação de uma conta para “obter seus golpes e ferramentas de hacking”, de acordo com a página inicial do site.

Um vídeo carregado no Vimeo em janeiro de 2021 mostra que o serviço oferece modelos de golpes prontos para uso para vários sites online como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal em inglês, árabe e francês. O vídeo tem mais de 67.000 visualizações até o momento.

O Hacker News também identificou vídeos tutoriais enviados ao YouTube que orientam os espectadores sobre as diferentes etapas necessárias para baixar modelos do Sniper Dz e configurar páginas de destino falsas para PUBG e Free Fire em plataformas legítimas como o Google Blogger.

No entanto, não está claro se eles têm alguma conexão com os desenvolvedores do Sniper Dz ou se são apenas clientes do serviço.

O Sniper Dz vem com a capacidade de hospedar páginas de phishing em sua própria infraestrutura e fornecer links personalizados apontando para essas páginas. Esses sites são então escondidos atrás de um servidor proxy legítimo (proxymesh[.]com) para evitar a detecção.

“O grupo por trás do Sniper Dz configura este servidor proxy para carregar automaticamente conteúdo de phishing de seu próprio servidor sem comunicação direta”, disseram os pesquisadores.

“Essa técnica pode ajudar o Sniper Dz a proteger seus servidores de backend, já que o navegador da vítima ou um rastreador de segurança verá o servidor proxy como responsável por carregar a carga de phishing.”

A outra opção para os cibercriminosos é baixar modelos de páginas de phishing offline como arquivos HTML e hospedá-los em seus próprios servidores. Além disso, o Sniper Dz oferece ferramentas adicionais para converter modelos de phishing para o formato Blogger que pode então ser hospedado em domínios do Blogspot.

As credenciais roubadas são finalmente exibidas em um painel de administração que pode ser acessado ao fazer login no site clearnet. A Unit 42 disse que observou um aumento na atividade de phishing usando o Sniper Dz, visando principalmente usuários da web nos EUA, a partir de julho de 2024.

“As páginas de phishing do Sniper Dz exfiltram credenciais de vítimas e as rastreiam por meio de uma infraestrutura centralizada”, disseram os pesquisadores. “Isso pode estar ajudando o Sniper Dz a coletar credenciais de vítimas roubadas por phishers que usam sua plataforma PhaaS.”

O desenvolvimento ocorre no momento em que o Cisco Talos revelou que os invasores estão abusando de páginas da web conectadas à infraestrutura SMTP de backend, como páginas de formulário de criação de conta e outras que enviam um e-mail de volta ao usuário, para contornar filtros de spam e distribuir e-mails de phishing.

Esses ataques aproveitam a validação e sanitização de entrada ruins prevalentes nesses formulários da web para incluir links e texto maliciosos. Outras campanhas conduzem ataques de preenchimento de credenciais contra servidores de e-mail de organizações legítimas para obter acesso a contas de e-mail e enviar spam.

“Muitos sites permitem que os usuários criem uma conta e façam login para acessar recursos ou conteúdo específicos”, disse o pesquisador do Talos, Jaeson Schultz . “Normalmente, após o registro bem-sucedido do usuário, um e-mail é enviado de volta ao usuário para confirmar a conta.”

“Neste caso, os spammers sobrecarregaram o campo de nome com texto e um link, que infelizmente não é validado ou higienizado de forma alguma. O e-mail resultante de volta para a vítima contém o link do spammer.”

Também ocorre após a descoberta de uma nova campanha de phishing por e-mail que utiliza um documento aparentemente inofensivo do Microsoft Excel para propagar uma variante sem arquivo do Remcos RAT , explorando uma falha de segurança conhecida ( CVE-2017-0199 ).

“Ao abrir o arquivo [Excel], objetos OLE são usados ​​para disparar o download e a execução de um aplicativo HTA malicioso”, disse o pesquisador da Trellix Trishaan Kalra . “Esse aplicativo HTA subsequentemente inicia uma cadeia de comandos do PowerShell que culminam na injeção de um Remcos RAT sem arquivo em um processo legítimo do Windows.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

phishing LabHost

Operação policial Global interrompe serviço de phishing ‘LabHost’, mais de 30 presos em todo o mundo.

Sticky 01/10/2024

Cerca de 37 pessoas foram presas como parte de uma repressão internacional a um serviço de crimes cibernéticos chamado LabHost , que tem sido usado por criminosos para roubar credenciais pessoais de vítimas ao redor do mundo. Descrito como um dos maiores provedores de Phishing-as-a-Service ( PhaaS ), o LabHost oferecia páginas de phishing direcionadas a bancos, organizações de […]