ابزارهای رایگان پلتفرم Sniper Dz، فیشینگ را برای فیشرها آسان کرده است!

در طول سال گذشته (2023) بیش از 140 هزار وب سایت فیشینگ مرتبط با یک پلتفرم فیشینگ به عنوان سرویس (PhaaS[1]) به نام Sniper Dz شناسایی شده است. بسیاری از مجرمان سایبری از این پلتفرم برای سرقت اطلاعات و داده‌های احراز هویت استفاده می‌کنند.

Sniper Dz یک پنل مدیریت آنلاین با کاتالوگ صفحات فیشینگ را به فیشرها ارائه می‌دهد. فیشرها می‌توانند این صفحات فیشینگ را در سرور زیرساخت Sniper Dz آپلود کنند و یا قالب‌های فیشینگ را برای میزبانی در سرورهای خود دانلود نمایند.

جالب است که این سرویس‌ها به صورت رایگان ارائه می‌شوند. داده‌های احراز هویت جمع آوری شده با استفاده از این وب سایت‌ها به اپراتورهای پلتفرم PhaaS نیز منتقل می‌گردد، تکنیکی که مایکروسافت آن را سرقت مضاعف نامیده است!

پلتفرم‌های PhaaS به روشی متداول برای هکرهای مشتاق به منظور ورود به دنیای جرایم سایبری تبدیل شده‌اند و به آنهایی که تخصص فنی کمی دارند نیز اجازه می‌دهند حملات فیشینگ را در مقیاس بزرگ به انجام رسانند.

چنین کیت‌های فیشینگی را می‌توان از تلگرام و کانال‌ها و گروه‌های اختصاصی که تمام جنبه‌های زنجیره حمله از سرویس‌های میزبانی گرفته تا ارسال پیام‌های فیشینگ را ارائه می‌دهند، خریداری کرد.

Sniper Dz از این قاعده مستثنی نیست زیرا هکرها یک کانال تلگرامی با بیش از 7000 مشترک از اول اکتبر 2024 دارند. این کانال در 25 می 2020 ایجاد شده است.

جالب اینجاست که یک روز پس از انتشار گزارش Unit 42 در این خصوص، مدیران کانال، گزینه حذف خودکار را فعال کرده‌اند تا پس از یک ماه، تمامی پست‌ها به طور خودکار حذف شوند. این اقدام، احتمالاً تلاشی برای پنهان کردن ردپای فعالیت آنها است، اگرچه پیام‌های قبلی در تاریخچه چت وجود دارند.

طبق صفحه اصلی وب سایت، پلتفرم PhaaS در clearnet قابل دسترس است اما برای دسترسی به ابزارهای کلاهبرداری و هک، نیاز به ثبت نام دارد.

ویدیویی که در ژانویه 2021 در Vimeo آپلود شد نشان می‌دهد که این سرویس، قالب‌های کلاهبرداری آماده برای سایت‌های آنلاین مختلف مانند X، فیس‌بوک، اینستاگرام، اسکایپ، یاهو، نتفلیکس، استیم، اسنپ‌چت و پی پال را به زبان‌های انگلیسی، عربی و فرانسوی ارائه می‌دهد. این ویدیو تا به امروز بیش از 67 هزار بازدید داشته است.

Hacker News همچنین ویدیوهای آموزشی آپلود شده در YouTube را شناسایی کرده است که بینندگان را برای دانلود قالب‌ها از Sniper Dz و راه اندازی صفحات لاگین جعلی برای PUBG و Free Fire در پلتفرم‌های قانونی مانند Google Blogger آموزش می‌دهد.

با این حال، هنوز مشخص نیست که آیا این افراد ارتباطی با توسعه دهندگان Sniper Dz دارند و یا فقط مشتریان این سرویس هستند.

Sniper Dz دارای قابلیت میزبانی صفحات فیشینگ در زیرساخت خود و ارائه لینک‌های سفارشی برای اشاره به آن صفحات است. این سایت‌ها سپس در پشت یک سرور پروکسی قانونی (proxymesh[.]com) پنهان می‌شوند تا شناسایی نگردند.

توسعه دهندگان پلتفرم Sniper Dz، این سرور پروکسی را به گونه‌ای پیکربندی کرده‌اند که به طور خودکار محتوای فیشینگ را از سرور خود بدون ارتباط مستقیم بارگیری می‌کند.

این تکنیک می‌تواند به Sniper Dz برای محافظت از سرورهای پنهانی خود کمک کند، چرا که مرورگر قربانی یا یک خزنده امنیتی، سرور پروکسی را مسئول بارگیری پیلود فیشینگ می‌داند.

گزینه دیگر برای مجرمان سایبری این است که قالب‌های صفحه فیشینگ را به صورت آفلاین به عنوان فایل‌های HTML دانلود کرده و آنها را بر روی سرورهای خود میزبانی کنند.

علاوه بر این، Sniper Dz ابزارهای اضافی را برای تبدیل قالب‌های فیشینگ به قالب بلاگ ارائه می‌دهد که می‌توانند در دامنه‌های Blogspot میزبانی شوند.

اطلاعات کاربری ربوده شده در نهایت در یک پنل مدیریتی نمایش داده می‌شوند که با ورود به سایت clearnet قابل دسترس هستند. واحد 42 شبکه‌های پالو آلتو اعلام کرده است که از ژوئیه 2024 با استفاده از Sniper Dz که عمدتاً کاربران وب را در ایالات متحده هدف قرار می‌دهد، افزایش قابل توجهی در فعالیت فیشینگ مشاهده کرده است.

صفحات فیشینگ Sniper Dz، داده‌های احراز هویت قربانیان را استخراج و آنها را از طریق یک زیرساخت متمرکز ردیابی می‌کنند. این کار می‌تواند به Sniper Dz کمک کند تا داده‌های سرقت شده قربانیان توسط فیشرهایی که از این پلتفرم PhaaS استفاده می‌نمایند را جمع آوری کند!

[1] phishing-as-a-service

منابع