Sniper Dz Phishing-Tools
Im vergangenen Jahr haben Forscher über 140.000 Phishing-Websites identifiziert, die mit einer Phishing-as-a-Service (PhaaS)-Plattform namens Sniper Dz verknüpft waren, was zeigt, dass diese Plattform unter Cyberkriminellen weit verbreitet ist, um Anmeldeinformationen zu stehlen.
Sniper Dz stellt potenziellen Phishern ein Online-Admin-Panel mit einer Reihe von Phishing-Vorlagen zur Verfügung. Einem technischen Bericht zufolge können Benutzer entweder die eigenen Hosting-Dienste von Sniper Dz für diese Seiten nutzen oder die Vorlagen herunterladen, um sie auf ihren eigenen Servern auszuführen.
Die Attraktivität der Plattform wird noch dadurch gesteigert, dass diese Dienste kostenlos angeboten werden. Beachten Sie jedoch, dass die über diese Phishing-Sites gesammelten Anmeldeinformationen an die Betreiber der PhaaS-Plattform zurückgesendet werden, eine Taktik, die von Experten als doppelter Diebstahl bezeichnet wird.
Inhaltsverzeichnis
Cyberkriminelle verlassen sich zunehmend auf PhaaS-Plattformen
Phishing-as-a-Service-Plattformen (PhaaS) werden für angehende Cyberkriminelle zu einem immer beliebteren Einstiegspunkt. Sie ermöglichen es Einzelpersonen mit minimalen technischen Kenntnissen, groß angelegte Phishing-Angriffe zu starten. Diese Phishing-Kits können problemlos auf Telegram erworben werden. Dort unterstützen dedizierte Kanäle und Gruppen jeden Aspekt der Angriffskette, von Hosting-Diensten bis zum Versenden von Phishing-Nachrichten.
Sniper Dz ist eine solche Plattform. Sie betreibt einen Telegram-Kanal, der am 1. Oktober 2024 über 7.170 Abonnenten hatte. Dieser Kanal ist seit dem 25. Mai 2020 aktiv. Bemerkenswerterweise aktivierten die Administratoren dieses Kanals nach dem Bericht der Cybersicherheitsexperten eine automatische Löschfunktion, die Beiträge nach einem Monat entfernt. Dieser Schritt deutet wahrscheinlich auf den Versuch hin, Spuren ihrer Aktivitäten zu verwischen, obwohl frühere Nachrichten im Chatverlauf weiterhin zugänglich bleiben. Die PhaaS-Plattform ist im Clearnet verfügbar und ihre Benutzer müssen ein Konto erstellen, um auf ihre „Taktiken und Hack-Tools“ zugreifen zu können.
Video-Tutorials zu den Phishing-Tools
Ein im Januar 2021 auf Vimeo hochgeladenes Video zeigt, dass der Dienst gebrauchsfertige Taktikvorlagen für eine Vielzahl von Online-Plattformen bereitstellt, darunter X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat und PayPal, verfügbar auf Englisch, Arabisch und Französisch. Dieses Video wurde bisher über 67.000 Mal angesehen.
Darüber hinaus haben Forscher auf YouTube Tutorial-Videos gefunden, die den Zuschauer durch die erforderlichen Schritte zum Herunterladen von Vorlagen von Sniper Dz und zum Erstellen gefälschter Zielseiten für Spiele wie PUBG und Free Fire mithilfe legitimer Plattformen wie Google Blogger führen. Es bleibt jedoch unklar, ob diese Tutorial-Ersteller mit den Entwicklern von Sniper Dz verbunden sind oder einfach nur Benutzer des Dienstes sind.
So funktionieren die Phishing-Tools von Sniper Dz
Sniper Dz bietet die Möglichkeit, Phishing-Seiten auf seiner eigenen Infrastruktur zu hosten und benutzerdefinierte Links bereitzustellen, die Benutzer zu diesen Seiten weiterleiten. Um nicht entdeckt zu werden, werden diese Seiten hinter einem legitimen Proxy-Server (proxymesh.com) verborgen, der von der Sniper Dz-Gruppe so konfiguriert wurde, dass Phishing-Inhalte automatisch und ohne direkte Kommunikation von seinem eigenen Server geladen werden.
Diese Methode hilft, die Backend-Server von Sniper Dz zu schützen, da der Browser des Opfers oder ein Sicherheitscrawler den Proxy-Server als für die Bereitstellung der Phishing-Nutzlast verantwortlich ansieht. Alternativ können Cyberkriminelle Phishing-Seitenvorlagen als HTML-Dateien für die Offline-Verwendung herunterladen und auf ihren eigenen Servern hosten. Sniper Dz bietet außerdem zusätzliche Tools zum Konvertieren dieser Vorlagen in das Blogger-Format, sodass sie auf Blogspot-Domänen gehostet werden können.
Die gesammelten Anmeldeinformationen werden schließlich auf einem Admin-Panel angezeigt, auf das durch die Anmeldung bei der Clearnet-Site zugegriffen werden kann. Experten haben einen Anstieg der Phishing-Aktivitäten mit Sniper Dz festgestellt, der seit Juli 2024 insbesondere auf Webbenutzer in den USA abzielt.
Die mit Sniper Dz verbundenen Phishing-Seiten sind darauf ausgelegt, die Anmeldeinformationen der Opfer abzugreifen und sie über eine zentralisierte Infrastruktur zu verfolgen. Dies hilft Sniper Dz wahrscheinlich dabei, an Anmeldeinformationen zu gelangen, die von Phishern gestohlen wurden, die die PhaaS-Plattform des Unternehmens nutzen.
