Herramientas de phishing de Sniper Dz
Durante el año pasado, los investigadores identificaron más de 140.000 sitios web de phishing vinculados a una plataforma de phishing como servicio (PhaaS) conocida como Sniper Dz, lo que destaca su uso generalizado entre los ciberdelincuentes para el robo de credenciales.
Sniper Dz ofrece a los posibles estafadores un panel de administración en línea con una variedad de plantillas de phishing. Según un informe técnico, los usuarios pueden utilizar los servicios de alojamiento propios de Sniper Dz para estas páginas o descargar las plantillas para ejecutarlas en sus propios servidores.
El atractivo de la plataforma se ve reforzado por el hecho de que estos servicios se ofrecen de forma gratuita. Sin embargo, cabe señalar que las credenciales obtenidas a través de estos sitios de phishing se envían de vuelta a los operadores de la plataforma PhaaS, una táctica que los expertos denominan doble robo.
Tabla de contenido
Los cibercriminales recurren cada vez más a las plataformas PhaaS
Las plataformas de phishing como servicio (PhaaS) se están convirtiendo en un punto de entrada cada vez más popular para los cibercriminales en ciernes, ya que permiten a personas con conocimientos técnicos mínimos lanzar ataques de phishing a gran escala. Estos kits de phishing están disponibles para su compra en Telegram, donde canales y grupos dedicados respaldan cada aspecto de la cadena de ataque, desde servicios de alojamiento hasta el envío de mensajes de phishing.
Sniper Dz es una de esas plataformas, que opera un canal de Telegram que cuenta con más de 7.170 suscriptores al 1 de octubre de 2024. Este canal ha estado activo desde el 25 de mayo de 2020. Cabe destacar que, tras el informe de los expertos en ciberseguridad, los administradores de este canal activaron una función de eliminación automática que elimina las publicaciones después de un mes. Esta medida probablemente indica un esfuerzo por borrar los rastros de sus actividades, aunque los mensajes anteriores siguen siendo accesibles en el historial de chat. La plataforma PhaaS está disponible en la clearnet y sus usuarios deben crear una cuenta para acceder a sus "tácticas y herramientas de hackeo".
Tutoriales en vídeo para herramientas de phishing
Un vídeo subido a Vimeo en enero de 2021 demuestra que el servicio ofrece plantillas tácticas listas para usar para una variedad de plataformas en línea, incluidas X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat y PayPal, disponibles en inglés, árabe y francés. Este vídeo ha obtenido más de 67.000 visitas hasta la fecha.
Además, los investigadores han encontrado videos tutoriales en YouTube que guían a los espectadores a través de los pasos necesarios para descargar plantillas de Sniper Dz y crear páginas de destino falsas para juegos como PUBG y Free Fire utilizando plataformas legítimas como Google Blogger. Sin embargo, no está claro si estos creadores de tutoriales están afiliados a los desarrolladores de Sniper Dz o son simplemente usuarios del servicio.
Cómo funcionan las herramientas de phishing de Sniper Dz
Sniper Dz ofrece la posibilidad de alojar páginas de phishing en su propia infraestructura, proporcionando enlaces personalizados que dirigen a los usuarios a estas páginas. Para evitar ser detectados, estos sitios se ocultan detrás de un servidor proxy legítimo (proxymesh.com), configurado por el grupo Sniper Dz para cargar automáticamente contenido de phishing desde su propio servidor sin comunicación directa.
Este método ayuda a proteger los servidores backend de Sniper Dz, ya que el navegador de la víctima o un rastreador de seguridad perciben al servidor proxy como responsable de entregar la carga útil de phishing. Alternativamente, los cibercriminales pueden descargar plantillas de páginas de phishing como archivos HTML para su uso sin conexión y alojarlas en sus propios servidores. Sniper Dz también proporciona herramientas adicionales para convertir estas plantillas al formato Blogger, lo que permite alojarlas en dominios de Blogspot.
Las credenciales obtenidas se muestran finalmente en un panel de administración al que se puede acceder iniciando sesión en el sitio de la red abierta. Los expertos han observado un aumento en la actividad de phishing que utiliza Sniper Dz, especialmente dirigida a usuarios de Internet en los EE. UU., que comenzó en julio de 2024.
Las páginas de phishing asociadas con Sniper Dz están diseñadas para exfiltrar las credenciales de las víctimas y rastrearlas a través de una infraestructura centralizada, probablemente ayudando a Sniper Dz a recopilar credenciales robadas por los phishers que utilizan su plataforma PhaaS.
