Più di 140.000 siti web di phishing sono stati scoperti collegati a una piattaforma di phishing-as-a-service (PhaaS) chiamata Sniper Dz nell’ultimo anno, indicando che viene utilizzata da un gran numero di criminali informatici per rubare credenziali.
Sniper DZ: come funziona
“Per i potenziali phisher, Sniper Dz offre un pannello di amministrazione online con un catalogo di pagine di phishing“, hanno affermato i ricercatori di Palo Alto Networks Unit 42, Shehroze Farooqi, Howard Tong e Alex Starov in un rapporto tecnico, aggiungendo: “I phisher possono ospitare queste pagine di phishing sull’infrastruttura di Sniper Dz o scaricare modelli di phishing di Sniper Dz per ospitarli sui propri server.”
Forse ciò che lo rende ancora più redditizio è che questi servizi sono forniti gratuitamente; tuttavia, le credenziali raccolte tramite i siti di phishing vengono anche esfiltrate agli operatori della piattaforma PhaaS, una tecnica che Microsoft chiama “doppio furto“.
Le piattaforme PhaaS sono diventate un modo sempre più comune per aspiranti criminali informatici di entrare nel mondo del crimine informatico, consentendo anche a coloro con poca competenza tecnica di lanciare attacchi di phishing su larga scala.
Sniper DZ e altri kit: da dove provengono?
Questi kit di phishing possono essere acquistati su Telegram, con canali e gruppi dedicati che si occupano di ogni aspetto della catena di attacco, dai servizi di hosting all’invio di messaggi di phishing.
Sniper Dz non fa eccezione, poiché i criminali informatici che lo detengono gestiscono un canale Telegram con oltre 7.170 iscritti al 1° ottobre 2024; il canale è stato creato il 25 maggio 2020.
Curiosamente, un giorno dopo la pubblicazione del rapporto di Unit 42, le persone dietro il canale hanno attivato l’opzione di auto-eliminazione per cancellare automaticamente tutti i post dopo un mese; ciò suggerisce probabilmente un tentativo di coprire le tracce delle loro attività, sebbene i messaggi precedenti restino intatti nella cronologia della chat.
La piattaforma PhaaS è accessibile sulla rete pubblica e richiede la creazione di un account per “ottenere i tuoi strumenti di truffa e hacking“, secondo la homepage del sito web.
I video che pubblicizzano Sniper DZ
Un video caricato su Vimeo a gennaio 2021 mostra che il servizio offre modelli di truffe pronti all’uso per vari siti online come X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal, in inglese, arabo e francese. Il video ha oltre 67.000 visualizzazioni ad oggi.
Sono stati identificati, tra le altre cose, i video tutorial caricati su YouTube che mostrano agli spettatori i diversi passaggi necessari per scaricare i modelli da Sniper Dz e impostare pagine di destinazione false per PUBG e Free Fire su piattaforme legittime come Google Blogger.
Tuttavia, non è chiaro se abbiano qualche collegamento con gli sviluppatori di Sniper Dz o se siano solo clienti del servizio.
Sniper Dz offre la possibilità di ospitare pagine di phishing sulla propria infrastruttura e fornire link personalizzati che puntano a quelle pagine e questi siti sono poi nascosti dietro un server proxy legittimo (proxymesh[.]com) per evitare la rilevazione.
“Il gruppo dietro Sniper Dz configura questo server proxy per caricare automaticamente i contenuti di phishing dal proprio server senza comunicazioni dirette“, hanno affermato i ricercatori, aggiungendo: “Questa tecnica può aiutare Sniper Dz a proteggere i suoi server di backend, poiché il browser della vittima o un crawler di sicurezza vedrà il server proxy come responsabile del caricamento del payload di phishing.”
L’altra opzione per i criminali informatici è scaricare offline i modelli di pagine di phishing come file HTML e ospitarli sui propri server.
Sniper Dz offre strumenti aggiuntivi per convertire i modelli di phishing nel formato Blogger, che possono poi essere ospitati su domini Blogspot.
Le conseguenze di Sniper DZ
Le credenziali rubate vengono infine visualizzate su un pannello di amministrazione accessibile accedendo al sito sulla rete pubblica; Unit 42 ha osservato un aumento dell’attività di phishing che utilizza Sniper Dz, principalmente prendendo di mira utenti web negli Stati Uniti, a partire da luglio 2024.
“Le pagine di phishing di Sniper Dz esfiltrano le credenziali delle vittime e le tracciano attraverso un’infrastruttura centralizzata“, hanno affermato i ricercatori. “Questo potrebbe aiutare Sniper Dz a raccogliere le credenziali delle vittime rubate dai phisher che utilizzano la loro piattaforma PhaaS.”
Lo sviluppo arriva mentre Cisco Talos ha rivelato che gli aggressori stanno abusando di pagine web collegate a infrastrutture SMTP di backend, come pagine di creazione account e altre che attivano l’invio di un’email all’utente, per bypassare i filtri anti-spam e distribuire email di phishing.
Questi attacchi sfruttano la scarsa validazione e sanitizzazione degli input presenti su questi moduli web per includere link e testi dannosi e altre campagne conducono attacchi di credential stuffing contro i server di posta di organizzazioni legittime per ottenere l’accesso a account email e inviare spam.
“Molti siti web consentono agli utenti di registrarsi per un account e accedere a funzionalità o contenuti specifici“, ha detto il ricercatore di Talos, Jaeson Schultz. “Tipicamente, al termine della registrazione, un’email viene inviata all’utente per confermare l’account.”
Alla Cisco Talos hanno anche detto che: “In questo caso, gli spammer hanno sovraccaricato il campo del nome con testo e un link, che purtroppo non viene validato o sanitizzato in alcun modo. L’email risultante inviata alla vittima contiene il link dello spammer.”
Questo segue anche la scoperta di una nuova campagna di phishing via email che sfrutta un apparentemente innocuo documento Microsoft Excel per diffondere una variante fileless di Remcos RAT, sfruttando una vulnerabilità di sicurezza nota (CVE-2017-0199).
“All’apertura del file Excel, vengono utilizzati oggetti OLE per attivare il download e l’esecuzione di un’applicazione HTA dannosa“, ha affermato il ricercatore di Trellix, Trishaan Kalra. “Questa applicazione HTA lancia successivamente una serie di comandi PowerShell che culminano nell’iniezione di un Remcos RAT fileless in un processo legittimo di Windows.”
