Er zijn het afgelopen jaar meer dan 140.000 phishingwebsites gevonden die gekoppeld zijn aan een phishing-as-a-service (PhaaS)-platform met de naam Sniper Dz, wat aangeeft dat het door een groot aantal cybercriminelen wordt gebruikt om inloggegevens te stelen.
“Voor potentiële phishers biedt Sniper Dz een online beheerderspaneel met een catalogus van phishing-pagina’s”, aldus Palo Alto Networks Unit 42-onderzoekers Shehroze Farooqi, Howard Tong en Alex Starov in een technisch rapport.
“Phishers kunnen deze phishing-pagina’s hosten op de infrastructuur van Sniper Dz, of phishing-sjablonen van Sniper Dz downloaden om op hun eigen servers te hosten.”
Wat het misschien nog lucratiever maakt, is dat deze diensten gratis worden aangeboden. Dat gezegd hebbende, worden de inloggegevens die via de phishing-sites zijn verzameld, ook geëxfiltreerd naar de exploitanten van het PhaaS-platform, een techniek die Microsoft dubbele diefstal noemt.
PhaaS-platforms zijn voor aspirant-bedreigingsactoren steeds vaker een manier geworden om de wereld van cybercriminaliteit te betreden, waardoor zelfs mensen met weinig technische expertise phishing-aanvallen op grote schaal kunnen uitvoeren.
Dergelijke phishing-kits kunnen bij Telegram worden gekocht, met speciale kanalen en groepen die zich richten op elk aspect van de aanvalsketen, van het hosten van diensten tot het verzenden van phishing-berichten.
Sniper Dz is daarop geen uitzondering, aangezien de bedreigingsactoren een Telegram-kanaal exploiteren met meer dan 7.170 abonnees op 1 oktober 2024. Het kanaal werd op 25 mei 2020 opgericht.
Interessant is dat een dag nadat het Unit 42-rapport live ging, de mensen achter het kanaal de optie voor automatisch verwijderen hebben ingeschakeld, zodat alle berichten na een maand automatisch worden gewist. Dit suggereert waarschijnlijk een poging om sporen van hun activiteit te verdoezelen, hoewel eerdere berichten intact blijven in de chatgeschiedenis.
Het PhaaS-platform is toegankelijk via Clearnet en vereist het aanmelden van een account om “uw oplichtings- en hacktools te krijgen”, aldus de startpagina van de website.
Uit een video die in januari 2021 naar Vimeo is geüpload, blijkt dat de service kant-en-klare oplichtingssjablonen biedt voor verschillende online sites zoals X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat en PayPal in het Engels, Arabisch en Frans talen. De video is tot nu toe ruim 67.000 keer bekeken.
The Hacker News heeft ook instructievideo’s geïdentificeerd die naar YouTube zijn geüpload en die kijkers door de verschillende stappen leiden die nodig zijn om sjablonen van Sniper Dz te downloaden en valse landingspagina’s voor PUBG en Free Fire op legitieme platforms zoals Google Blogger in te stellen.
Het is echter niet duidelijk of ze enige connectie hebben met de ontwikkelaars van Sniper Dz, of dat ze gewoon klanten van de dienst zijn.
Sniper Dz wordt geleverd met de mogelijkheid om phishing-pagina’s op zijn eigen infrastructuur te hosten en op maat gemaakte links te bieden die naar die pagina’s verwijzen. Deze sites worden vervolgens verborgen achter een legitieme proxyserver (proxymesh(.)com) om detectie te voorkomen.
“De groep achter Sniper Dz configureert deze proxyserver om automatisch phishing-inhoud van de eigen server te laden zonder directe communicatie”, aldus de onderzoekers.
“Deze techniek kan Sniper Dz helpen zijn backend-servers te beschermen, omdat de browser van het slachtoffer of een beveiligingscrawler de proxyserver zal zien als verantwoordelijk voor het laden van de phishing-payload.”
De andere optie voor cybercriminelen is om phishing-paginasjablonen offline te downloaden als HTML-bestanden en deze op hun eigen servers te hosten. Bovendien biedt Sniper Dz extra tools om phishing-sjablonen naar het Blogger-formaat te converteren, die vervolgens op Blogspot-domeinen kunnen worden gehost.
De gestolen inloggegevens worden uiteindelijk weergegeven op een beheerderspaneel dat toegankelijk is door in te loggen op de Clearnet-site. Unit 42 zei dat het vanaf juli 2024 een toename van phishing-activiteiten heeft waargenomen met behulp van Sniper Dz, voornamelijk gericht op internetgebruikers in de VS.
“Sniper Dz phishing-pagina’s exfiltreren de inloggegevens van slachtoffers en volgen deze via een gecentraliseerde infrastructuur”, aldus de onderzoekers. “Dit zou Sniper Dz kunnen helpen bij het verzamelen van de inloggegevens van slachtoffers die zijn gestolen door phishers die hun PhaaS-platform gebruiken.”
De ontwikkeling komt nadat Cisco Talos onthulde dat aanvallers webpagina’s misbruiken die zijn verbonden met de backend SMTP-infrastructuur, zoals formulierpagina’s voor het aanmaken van accounts en andere die een e-mail naar de gebruiker sturen, om spamfilters te omzeilen en phishing-e-mails te verspreiden.
Deze aanvallen maken misbruik van de slechte invoervalidatie en -opschoning die vaak voorkomt op deze webformulieren door kwaadaardige links en tekst op te nemen. Andere campagnes voeren credential stuffing-aanvallen uit op mailservers van legitieme organisaties om toegang te krijgen tot e-mailaccounts en spam te verzenden.
“Op veel websites kunnen gebruikers zich aanmelden voor een account en inloggen om toegang te krijgen tot specifieke functies of inhoud”, zegt Talos-onderzoeker Jaeson Schultz. “Normaal gesproken wordt na succesvolle gebruikersregistratie een e-mail naar de gebruiker gestuurd om het account te bevestigen.”
“In dit geval hebben de spammers het naamveld overbelast met tekst en een link, die helaas op geen enkele manier gevalideerd of opgeschoond is. De resulterende e-mail terug naar het slachtoffer bevat de link van de spammer.”
Het volgt ook op de ontdekking van een nieuwe e-mailphishing-campagne die gebruik maakt van een ogenschijnlijk onschadelijk Microsoft Excel-document om een bestandsloze variant van Remcos RAT te verspreiden door misbruik te maken van een bekend beveiligingslek (CVE-2017-0199).
“Bij het openen van het Excel-bestand worden OLE-objecten gebruikt om het downloaden en uitvoeren van een kwaadaardige HTA-applicatie te activeren”, zegt Trellix-onderzoeker Trishaan Kalra. “Deze HTA-applicatie lanceert vervolgens een reeks PowerShell-opdrachten die culmineren in de injectie van een bestandsloze Remcos RAT in een legitiem Windows-proces.”