Sniper DZ: Phish-as-a-Service per dare slancio al Cybercrimine

Nel vasto panorama della sicurezza informatica, emergono continuamente nuove minacce che mettono a dura prova la protezione dei dati personali e aziendali. Una delle più recenti e insidiose è la piattaforma di Phish-as-a-Service (PhaaS) Sniper DZ, che ha guadagnato notorietà per la sua capacità di facilitare attacchi di phishing su larga scala.

Cos’è Sniper DZ?

Sniper DZ è una piattaforma PhaaS che offre strumenti e servizi per la creazione e gestione di siti di phishing. In pratica, permette ai cybercriminali di lanciare campagne di phishing senza necessità di possedere competenze tecniche avanzate. La piattaforma è stata collegata a oltre 140.000 siti di phishing nell’ultimo anno, dimostrando la sua diffusione e l’efficacia nel rubare credenziali.

Caratteristiche Principali

Hosting e Proxy: Sniper DZ permette di ospitare le pagine di phishing sulla propria infrastruttura o di scaricare i modelli per utilizzarli su altri server. Le pagine di phishing sono spesso nascoste dietro server proxy per evitare la rilevazione da parte dei crawler di sicurezza.

Kit di Phishing Gratuiti: Sniper DZ fornisce kit di phishing per vari siti popolari come X (Twitter), Facebook, Instagram, Netflix, PayPal e molti altri. Questi kit sono disponibili gratuitamente, ma le credenziali raccolte vengono anche esfiltrate verso gli operatori di Sniper DZ, tattica questa nota come “double theft”.

Pannello di Amministrazione Online: Gli utenti possono accedere a un pannello di amministrazione online che offre modelli di phishing pronti all’uso. Questo rende la piattaforma accessibile anche ai meno esperti.

Presenza su Telegram: La piattaforma mantiene un canale attivo su Telegram con oltre 7.000 iscritti. Questo canale è utilizzato per distribuire kit di phishing e fornire supporto agli utenti.

Implicazioni per la Sicurezza

La diffusione di Sniper DZ rappresenta una minaccia significativa per la sicurezza informatica globale. La facilità con cui i cybercriminali possono lanciare attacchi di phishing aumenta il rischio di furto di credenziali e dati sensibili. Inoltre, la tattica del “double theft” amplifica il danno, poiché le informazioni rubate vengono raccolte sia dai phisher che dagli operatori della piattaforma.

Come Proteggersi dai Rischi di Phishing

Per difendersi da minacce come SniperDZ, è fondamentale adottare alcune buone pratiche di sicurezza:

1. Verificare sempre l’URL prima di inserire credenziali su un sito web.

2. Evitare di cliccare su link sospetti ricevuti via e-mail o messaggi.

3. Utilizzare l’autenticazione a due fattori (2FA) per proteggere gli account.

4. Aggiornare regolarmente software e antivirus per rilevare minacce emergenti.

5. Essere consapevoli delle tecniche di phishing e informarsi sulle nuove minacce.

IoC forniti da  Paolo Alto UNIT 42

Durante un incidente di cybersecurity, gli indicatori di compromissione (IoC) sono indizi e prove di una violazione dei dati. Queste “briciole digitali” possono rivelare non solo che si è verificato un attacco, ma spesso anche quali strumenti sono stati utilizzati per l’attacco e a volte quale attore malevolo ci sia dietro.

Gli IoC possono anche essere utilizzati per determinare l’entità della compromissione di un’organizzazione o per raccogliere le lezioni apprese (lesson learned) per proteggere l’ambiente da attacchi futuri. Gli indicatori sono generalmente raccolti attarverso l’uso di software, come ad esempio sistemi antimalware e antivirus, ma altri strumenti di cybersecurity possono essere utilizzati per aggregare e organizzare gli indicatori durante la risposta ad un incidente.

Vediamo qui di seguito quali sono le tracce, le briciole digitali, lasciate da attacchi condotti attraverso campagne di phishing realizzate con la piattaforma PhaaS Sniper DZ.

Piattaforma Sniper Dz:

• Sniperdz[.]com

Posizione fisica delle pagine web di phishing nascoste tramite server proxy:

• dev-cdn370.pantheonsite.io

Endpoint di esfiltrazione centralizzato:

• raviral[.]com/k_fac.php

Script tracker incorporato:

• raviral[.]com/host_style/style/js-track/track.js

Canale di supporto Telegram:

• t[.]me/JokerDzV2

Video tutorial della piattaforma Sniper Dz:

• t[.]me/JokerDzV2/19

Reindirizzamento ai siti web di proprietà di Sniper Dz:

• raviral[.]com

Esempi di siti web di phishing generati con Sniper Dz:

• 6627c220b5daa507c6cca1c5–votedme[.]netlify.app
• automaticgiveaway[.]000webhostapp[.]com
• Climbing-green-botany[.]glitch[.]me
• facebookbusiness0078[.]blogspot.be
• free-fire-reward-garena-bd-nepazl[.]epizy[.]com
• freefirefff[.]github[.]io
• ff-rewards-redeem-codes-org[.]github.io
• instagram-cutequeen57[.]netlify.app
• pubg-tournament-official[.]github.io/free-fire-reedeem-code
• v0tingsystem[.]github[.]io

Esempi di pagine di phishing di Sniper Dz Live ospitate sulla loro infrastruttura:

• pro[.]riccardomalisano[.]com/about/z1to.html?u=ff-insta/?i=[Redacted_For_Anonymity]
• pro[.]riccardomalisano[.]com/about/z2to.html?u=ff-reward/?i=[Redacted_For_Anonymity]
• pro[.]riccardomalisano[.]com/about/z2to.html?u=ff-spiner/?i=[Redacted_For_Anonymity]
• pro[.]riccardomalisano[.]com/about/z1to.html?u=eb-log/?i=[Redacted_For_Anonymity]
• pro[.]riccardomalisano[.]com/about/z1to.html?u=s-mobi/?i=[Redacted_For_Anonymity]

Un servizio pubblico di proxy legittimo abusato per nascondere contenuti di phishing:

• proxymesh[.]com

Att&ck IDs:

• T1583 – Acquire Infrastructure
• T1564 – Hide Artifacts
• T1185 – Man in the Browser
• T1059 – Command and Scripting Interpreter
• T1102 – Web Service
• T1608 – Stage Capabilities
• T1566 – Phishing
• T1027 – Obfuscated Files or Information
• T1056 – Input Capture
• T1588 – Obtain Capabilities

Conclusione

Sniper DZ è un esempio lampante di come le tecnologie PhaaS stiano evolvendo, rendendo il cybercrimine sempre più accessibile e quindi più pericoloso, vista la possibilità di più frequenti “campagne di pesca”. È essenziale che le organizzazioni ed “i singoli naviganti” adottino misure proattive per proteggere i propri dati e rimanere vigili contro queste minacce emergenti.

Referimenti / Fonti citate

[1] Sniper Dz: The PhaaS Platform Behind 140,000+ Phishing Sites Exposed

[2] Free Sniper Dz Phishing Tools Fuel 140,000+ Cyber Attacks Targeting …

[3] PALO ALTO UNIT42  https://unit42.paloaltonetworks.com/phishing-platform-sniper-dz-unique-tactics/

[4] OTX Alien Vault

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piovesan

Laureato in ingegneria Informatica nel 2002, certificato CISSP dal 2023, entra nel mondo ICT come analista/full stack developer. Prosegue nella formazione frequentando un executive Master in cybersecurity e data protection presso 24ORE Business School. Si occupa ora di temi legati alla cybersecurity governance in ambito grande distribuzione organizzata. Nutre una forte passione per la tecnologia, l’innovazione e la cybersecurity, favorendo la diffusione della consapevolezza al rischio digitale. Ama leggere libri sulla storia della matematica ed è un appassionato di letteratura e cinematografia fantascientifica.

Aree di competenza: NIS2, Governance & Security Compliance, DevSecOps, Divulgazione e Cultura Cyber