Clicky

Herramientas de phishing gratuitas alimentan más de 140.000 ataques cibernéticos

Sniper Dz

Los ataques de phishing de Sniper Dz van dirigidos a las credenciales de los usuarios

Durante el último año se han encontrado más de 140.000 sitios web de phishing vinculados a una plataforma de phishing como servicio (PhaaS) llamada Sniper Dz, lo que indica que está siendo utilizada por una gran cantidad de ciberdelincuentes para llevar a cabo el robo de credenciales.

"Para los posibles phishers, Sniper Dz ofrece un panel de administración en línea con un catálogo de páginas de phishing", dijeron en un informe técnico los investigadores de la Unidad 42 de Palo Alto Networks, Shehroze Farooqi, Howard Tong y Alex Starov.

"Los estafadores pueden alojar estas páginas de phishing en la infraestructura propiedad de Sniper Dz o descargar plantillas de phishing de Sniper Dz para alojarlas en sus propios servidores".

Quizás lo que lo hace aún más lucrativo es que estos servicios se proporcionan de forma gratuita. Dicho esto, las credenciales obtenidas mediante sitios de phishing también se filtran a los operadores de la plataforma PhaaS, una técnica que Microsoft llama doble robo.

Las plataformas PhaaS se han convertido en una forma cada vez más común para que los actores de amenazas aspirantes ingresen al mundo del ciberdelito, lo que permite que incluso aquellos con poca experiencia técnica realicen ataques de phishing a gran escala.

Estos kits de phishing se pueden comprar en Telegram, con canales y grupos dedicados a todos y cada uno de los aspectos de la cadena de ataque, desde los servicios de alojamiento hasta el envío de mensajes de phishing.

Sniper Dz no es una excepción, ya que los actores de amenazas operan un canal de Telegram con más de 7.170 suscriptores al 1 de octubre de 2024. El canal fue creado el 25 de mayo de 2020.

Curiosamente, un día después de que se publicara el informe de la Unidad 42, las personas detrás del canal habilitaron la opción de eliminación automática para borrar automáticamente todas las publicaciones después de un mes. Esto probablemente sugiere un intento de ocultar rastros de su actividad, aunque los mensajes anteriores permanecen intactos en el historial de chat.

La plataforma PhaaS es accesible a través de la clearnet y requiere registrar una cuenta para "obtener herramientas contra estafas y hackeos", según la página de inicio del sitio web.

detalle del ataque Sniper Dz

Un vídeo subido a Vimeo en enero de 2021 muestra que el servicio ofrece plantillas de estafa listas para usar para varios sitios en línea como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat y PayPal en inglés, árabe y francés. El vídeo tiene más de 67.000 visitas hasta la fecha.

Hacker News también ha identificado videos tutoriales subidos a YouTube que guían a los espectadores a través de los diferentes pasos necesarios para descargar plantillas de Sniper Dz y configurar páginas de destino falsas para PUBG y Free Fire en plataformas legítimas como Google Blogger.

Sin embargo, no está claro si tienen alguna conexión con los desarrolladores de Sniper Dz o si simplemente son clientes del servicio.

Sniper Dz tiene la capacidad de alojar páginas de phishing en su propia infraestructura y proporcionar enlaces personalizados que apuntan a esas páginas. Estos sitios se ocultan detrás de un servidor proxy legítimo (proxymesh[.]com) para evitar su detección.

"El grupo detrás de Sniper Dz configura este servidor proxy para cargar automáticamente contenido de phishing desde su propio servidor sin comunicaciones directas", dijeron los investigadores.

"Esta técnica puede ayudar a Sniper Dz a proteger sus servidores backend, ya que el navegador de la víctima o un rastreador de seguridad verá al servidor proxy como responsable de cargar la carga útil de phishing".

La otra opción para los ciberdelincuentes es descargar plantillas de páginas de phishing sin conexión como archivos HTML y alojarlas en sus propios servidores. Además, Sniper Dz ofrece herramientas adicionales para convertir plantillas de phishing al formato Blogger que luego podrían alojarse en dominios de Blogspot.

Las credenciales robadas se muestran finalmente en un panel de administración al que se puede acceder iniciando sesión en el sitio de la red abierta. Unit 42 afirmó que observó un aumento en la actividad de phishing utilizando Sniper Dz, principalmente dirigida a usuarios web en los EE. UU., a partir de julio de 2024.

"Las páginas de phishing de Sniper Dz extraen las credenciales de las víctimas y las rastrean a través de una infraestructura centralizada", afirmaron los investigadores. "Esto podría ayudar a Sniper Dz a recopilar las credenciales de las víctimas robadas por los estafadores que utilizan su plataforma PhaaS".

Jesus_Caceres