Mais de 140.000 websites de phishing foram encontrados vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de cibercriminosos para realizar roubo de credenciais.
“Para possíveis phishers, o Sniper Dz oferece um painel de administração on-line com um catálogo de páginas de phishing”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Shehroze Farooqi, Howard Tong e Alex Starov, em um relatório técnico.
“Os phishers podem hospedar essas páginas de phishing na infraestrutura de propriedade do Sniper Dz ou baixar modelos de phishing do Sniper Dz para hospedar em seus próprios servidores.”
Talvez o que o torne ainda mais lucrativo seja o facto de estes serviços serem fornecidos gratuitamente. Dito isso, as credenciais coletadas nos websites de phishing também são exfiltradas para os operadores da plataforma PhaaS, uma técnica que a Microsoft chama de roubo duplo.
As plataformas PhaaS tornaram-se uma forma cada vez mais comum para aspirantes a agentes de ameaças entrarem no mundo do crime cibernético, permitindo que mesmo aqueles com pouco conhecimento técnico montem ataques de phishing em grande escala.
Esses kits de phishing podem ser adquiridos no Telegram, com canais e grupos dedicados que atendem a todos os aspectos da cadeia de ataque, desde serviços de hospedagem até o envio de mensagens de phishing.
Sniper Dz não é exceção, pois os atores da ameaça operam um canal Telegram com mais de 7.170 assinantes em 1º de outubro de 2024. O canal foi criado em 25 de maio de 2020.
Curiosamente, um dia após a publicação do relatório da Unidade 42, as pessoas por trás do canal ativaram a opção de exclusão automática para limpar automaticamente todas as postagens após um mês. Isto provavelmente sugere uma tentativa de encobrir vestígios de sua atividade, embora as mensagens anteriores permaneçam intactas no histórico do bate-papo.
A plataforma PhaaS pode ser acessada na clearnet e requer a inscrição de uma conta para “obter seus golpes e ferramentas de hack”, de acordo com a página inicial do web site.
Um vídeo enviado ao Vimeo em janeiro de 2021 mostra que o serviço oferece modelos de golpes prontos para uso para vários websites on-line como X, Fb, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal em inglês, árabe e francês línguas. O vídeo tem mais de 67.000 visualizações até o momento.
O Hacker Information também identificou vídeos tutoriais enviados ao YouTube que conduzem os espectadores pelas diferentes etapas necessárias para baixar modelos do Sniper Dz e configurar páginas de destino falsas para PUBG e Free Hearth em plataformas legítimas como o Google Blogger.
No entanto, não está claro se eles têm alguma ligação com os desenvolvedores do Sniper Dz ou se são apenas clientes do serviço.
O Sniper Dz vem com a capacidade de hospedar páginas de phishing em sua própria infraestrutura e fornecer hyperlinks personalizados apontando para essas páginas. Esses websites são então escondidos atrás de um servidor proxy legítimo (proxymesh(.)com) para evitar a detecção.
“O grupo por trás do Sniper Dz configura este servidor proxy para carregar automaticamente conteúdo de phishing de seu próprio servidor, sem comunicações diretas”, disseram os pesquisadores.
“Essa técnica pode ajudar o Sniper Dz a proteger seus servidores back-end, já que o navegador da vítima ou um rastreador de segurança verá o servidor proxy como sendo responsável por carregar a carga de phishing.”
A outra opção para os cibercriminosos é baixar modelos de páginas de phishing off-line como arquivos HTML e hospedá-los em seus próprios servidores. Além disso, o Sniper Dz oferece ferramentas adicionais para converter modelos de phishing para o formato do Blogger, que podem então ser hospedados em domínios do Blogspot.
As credenciais roubadas são exibidas em um painel de administração que pode ser acessado fazendo login no web site clearnet. A Unidade 42 disse ter observado um aumento na atividade de phishing usando o Sniper Dz, visando principalmente usuários da net nos EUA, a partir de julho de 2024.
“As páginas de phishing do Sniper Dz exfiltram as credenciais das vítimas e as rastreiam por meio de uma infraestrutura centralizada”, disseram os pesquisadores. “Isso pode ajudar o Sniper Dz a coletar credenciais de vítimas roubadas por phishers que usam sua plataforma PhaaS.”
O desenvolvimento ocorre no momento em que o Cisco Talos revela que os invasores estão abusando de páginas da Net conectadas à infraestrutura SMTP de back-end, como páginas de formulário de criação de conta e outras que acionam um e-mail de volta ao usuário, para contornar filtros de spam e distribuir e-mails de phishing.
Esses ataques aproveitam a má validação e higienização de entrada predominante nesses formulários da net para incluir hyperlinks e textos maliciosos. Outras campanhas realizam ataques de preenchimento de credenciais contra servidores de e-mail de organizações legítimas para obter acesso a contas de e-mail e enviar spam.
“Muitos websites permitem que os usuários se inscrevam em uma conta e façam login para acessar recursos ou conteúdos específicos”, disse o pesquisador da Talos, Jaeson Schultz. “Normalmente, após o registro bem-sucedido do usuário, um e-mail é enviado ao usuário para confirmar a conta.”
“Neste caso, os spammers sobrecarregaram o campo do nome com texto e um hyperlink, que infelizmente não é validado ou higienizado de forma alguma. O e-mail resultante enviado à vítima contém o hyperlink do spammer.”
Também segue a descoberta de uma nova campanha de phishing por e-mail que utiliza um documento aparentemente inofensivo do Microsoft Excel para propagar uma variante sem arquivo do Remcos RAT, explorando uma falha de segurança conhecida (CVE-2017-0199).
“Ao abrir o arquivo (Excel), objetos OLE são usados para acionar o obtain e a execução de um aplicativo HTA malicioso”, disse Trishaan Kalra, pesquisador da Trellix. “Este aplicativo HTA posteriormente lança uma cadeia de comandos do PowerShell que culmina na injeção de um Remcos RAT sem arquivo em um processo legítimo do Home windows.”