در طول سال گذشته بیش از 140000 وب سایت فیشینگ مرتبط با یک پلتفرم فیشینگ به عنوان یک سرویس (PhaaS) به نام Sniper Dz یافت شده است که نشان می دهد تعداد زیادی از مجرمان سایبری از آنها برای سرقت اطلاعات استفاده می کنند.
شهروز فاروقی، هوارد تانگ و الکس استاروف، محققین واحد 42 شبکه های پالو آلتو، در گزارشی فنی گفتند: «برای فیشرهای بالقوه، Sniper Dz یک پنل مدیریت آنلاین حاوی کاتالوگ صفحات فیشینگ ارائه می دهد.
کلاهبرداران می توانند این صفحات فیشینگ را در زیرساخت اختصاصی Sniper Dz میزبانی کنند یا قالب های فیشینگ Sniper Dz را دانلود کنند تا آنها را روی سرورهای خود میزبانی کنند.
شاید چیزی که باعث سود بیشتر می شود این باشد که این خدمات به صورت رایگان ارائه می شوند. با این حال، اعتبار جمعآوریشده با استفاده از سایتهای فیشینگ به اپراتورهای پلتفرم PhaaS نیز درز میکند، تکنیکی که مایکروسافت آن را سرقت مضاعف مینامد.
پلتفرمهای PhaaS به وسیلهای به طور فزایندهای محبوب برای عوامل تهدید کننده مشتاق برای ورود به دنیای جرایم سایبری تبدیل شدهاند و به افرادی که تجربه فنی کمی دارند نیز اجازه میدهند حملات فیشینگ در مقیاس بزرگ را انجام دهند.
این کیتهای فیشینگ را میتوان از تلگرام، با کانالها و گروههای اختصاصی که به تمام جنبههای زنجیره حمله، از خدمات میزبانی گرفته تا ارسال پیامهای فیشینگ، ارائه میکنند، خریداری کرد.
Sniper Dz نیز از این قاعده مستثنی نیست زیرا بازیگران تهدید یک کانال تلگرامی با بیش از 7170 مشترک از اول اکتبر 2024 دارند. این کانال در 25 می 2020 ایجاد شد.
جالب اینجاست که یک روز پس از انتشار گزارش واحد 42، افراد پشت کانال گزینه حذف خودکار را فعال کردند تا پس از یک ماه تمام پست ها به طور خودکار حذف شوند. این احتمالاً نشان دهنده تلاشی برای پنهان کردن آثار فعالیت آنها است، اگرچه پیام های قبلی در تاریخچه چت دست نخورده باقی می مانند.
طبق صفحه اصلی سایت، پلتفرم PhaaS در شبکه Clearnet قابل دسترسی است و نیاز به ثبت حساب “برای دسترسی به ابزارهای کلاهبرداری و هک” دارد.
ویدئویی که در ژانویه 2021 در Vimeo آپلود شد نشان میدهد که این سرویس قالبهای کلاهبرداری آماده برای سایتهای آنلاین مختلف مانند X، Facebook، Instagram، Skype، Yahoo، Netflix، Steam، Snapchat و PayPal را به زبانهای انگلیسی، عربی و فرانسوی ارائه میکند. زبان ها این ویدیو تاکنون بیش از 67000 بازدید داشته است.
هکر نیوز همچنین ویدیوهای آموزشی آپلود شده در YouTube را شناسایی کرده است که بینندگان را طی مراحل مختلف مورد نیاز برای دانلود الگوها از Sniper Dz و راهاندازی صفحات فرود جعلی برای PUBG و Free Fire در پلتفرمهای قانونی مانند Google Blogger میبرد.
با این حال، مشخص نیست که آیا آنها ارتباطی با توسعه دهندگان Sniper Dz دارند یا فقط مشتریان این سرویس هستند.
Sniper Dz دارای قابلیت میزبانی صفحات فیشینگ در زیرساخت خود و ارائه پیوندهای سفارشی با اشاره به آن صفحات است. سپس این سایت ها در پشت یک سرور پروکسی قانونی (proxymesh(.)com) برای جلوگیری از شناسایی پنهان می شوند.
محققان گفتند: “گروه پشت Sniper Dz این سرور پراکسی را به گونه ای پیکربندی می کند که به طور خودکار محتوای فیشینگ را از سرور خود بدون اتصال مستقیم دانلود کند.”
“این فناوری می تواند به Sniper Dz کمک کند تا از سرورهای پشتیبان خود محافظت کند، زیرا مرورگر قربانی یا خزنده امنیتی می بیند که سرور پروکسی مسئول بارگیری محموله فیشینگ است.”
گزینه دیگر برای مجرمان سایبری این است که قالب های صفحه فیشینگ را به صورت آفلاین به عنوان فایل های HTML دانلود کرده و آنها را روی سرورهای خود میزبانی کنند. علاوه بر این، Sniper Dz ابزارهای اضافی را برای تبدیل قالبهای فیشینگ به قالب بلاگر ارائه میکند که سپس میتواند در دامنههای Blogspot میزبانی شود.
اعتبارنامه های دزدیده شده در نهایت در پنل مدیریت نمایش داده می شود که با ورود به وب سایت Clearnet قابل دسترسی است. واحد 42 گفت که از ژوئیه 2024 افزایش فعالیت فیشینگ را با استفاده از Sniper Dz مشاهده کرده است که عمدتاً کاربران وب را در ایالات متحده هدف قرار می دهد.
محققان گفتند: “صفحات فیشینگ Sniper Dz اعتبار قربانی را استخراج کرده و آنها را از طریق یک زیرساخت متمرکز ردیابی می کنند.” “این ممکن است به Sniper Dz کمک کند تا اعتبار قربانیان سرقت شده توسط ترول ها را با استفاده از پلت فرم PhaaS آنها جمع آوری کند.”
این توسعه زمانی انجام شد که Cisco Talos فاش کرد که مهاجمان از صفحات وب متصل به زیرساخت SMTP، مانند صفحات فرم ایجاد حساب و سایر صفحاتی که باعث ارسال ایمیل به کاربر، دور زدن فیلترهای اسپم و توزیع ایمیلهای فیشینگ میشوند، سوء استفاده میکنند.
این حملات از اعتبار سنجی ورودی ضعیف و پاکسازی رایج در این فرم های وب برای جاسازی لینک ها و متن های مخرب استفاده می کنند. کمپین های دیگر برای دسترسی به حساب های ایمیل و ارسال هرزنامه، حملات پر کردن اعتبار را علیه سرورهای ایمیل سازمان های قانونی انجام می دهند.
جیسون شولتز، محقق Talos گفت: «بسیاری از وبسایتها به کاربران این امکان را میدهند که برای یک حساب کاربری ثبت نام کنند و برای دسترسی به ویژگیها یا محتوای خاص وارد شوند». معمولاً وقتی کاربر با موفقیت ثبت نام می کند، ایمیلی برای تایید حساب کاربری برای کاربر ارسال می شود.
“در این مورد، ارسال کننده هرزنامه فیلد نام را با متن و یک لینک اضافه بارگذاری کرده است، که متاسفانه به هیچ وجه تایید یا بهینه نشده است. ایمیل ارسالی به قربانی حاوی لینک اسپمر است.”
همچنین پس از کشف یک کمپین فیشینگ ایمیل جدید که از یک سند به ظاهر بی ضرر مایکروسافت اکسل استفاده می کند تا با استفاده از یک آسیب پذیری شناخته شده (CVE-2017-0199) یک نوع بدون فایل از Remcos RAT را گسترش دهد.
Trishan Kalra، یکی از محققین Trilex می گوید: «وقتی یک فایل اکسل را باز می کنید، از اشیاء OLE برای شروع دانلود و اجرای برنامه مخرب HTA استفاده می شود. این برنامه HTA متعاقباً یک سری دستورات PowerShell را راهاندازی میکند که به تزریق بدون فایل Remcos RAT به فرآیند قانونی ویندوز ختم میشود.»
منبع: https://thehackernews.com/2024/10/free-sniper-dz-phishing-tools-fuel.html