ابزارهای فیشینگ رایگان Sniper Dz بیش از 140000 حمله سایبری را با هدف قرار دادن اطلاعات کاربری کاربر تحریک می کند.

140,000+ Cyber Attacks

بیش از 140000 حمله سایبری

در طول سال گذشته بیش از 140000 وب سایت فیشینگ مرتبط با یک پلتفرم فیشینگ به عنوان یک سرویس (PhaaS) به نام Sniper Dz یافت شده است که نشان می دهد تعداد زیادی از مجرمان سایبری از آنها برای سرقت اطلاعات استفاده می کنند.

شهروز فاروقی، هوارد تانگ و الکس استاروف، محققین واحد 42 شبکه های پالو آلتو، در گزارشی فنی گفتند: «برای فیشرهای بالقوه، Sniper Dz یک پنل مدیریت آنلاین حاوی کاتالوگ صفحات فیشینگ ارائه می دهد.

کلاهبرداران می توانند این صفحات فیشینگ را در زیرساخت اختصاصی Sniper Dz میزبانی کنند یا قالب های فیشینگ Sniper Dz را دانلود کنند تا آنها را روی سرورهای خود میزبانی کنند.

شاید چیزی که باعث سود بیشتر می شود این باشد که این خدمات به صورت رایگان ارائه می شوند. با این حال، اعتبار جمع‌آوری‌شده با استفاده از سایت‌های فیشینگ به اپراتورهای پلتفرم PhaaS نیز درز می‌کند، تکنیکی که مایکروسافت آن را سرقت مضاعف می‌نامد.

پلتفرم‌های PhaaS به وسیله‌ای به طور فزاینده‌ای محبوب برای عوامل تهدید کننده مشتاق برای ورود به دنیای جرایم سایبری تبدیل شده‌اند و به افرادی که تجربه فنی کمی دارند نیز اجازه می‌دهند حملات فیشینگ در مقیاس بزرگ را انجام دهند.

این کیت‌های فیشینگ را می‌توان از تلگرام، با کانال‌ها و گروه‌های اختصاصی که به تمام جنبه‌های زنجیره حمله، از خدمات میزبانی گرفته تا ارسال پیام‌های فیشینگ، ارائه می‌کنند، خریداری کرد.

امنیت سایبری

Sniper Dz نیز از این قاعده مستثنی نیست زیرا بازیگران تهدید یک کانال تلگرامی با بیش از 7170 مشترک از اول اکتبر 2024 دارند. این کانال در 25 می 2020 ایجاد شد.

جالب اینجاست که یک روز پس از انتشار گزارش واحد 42، افراد پشت کانال گزینه حذف خودکار را فعال کردند تا پس از یک ماه تمام پست ها به طور خودکار حذف شوند. این احتمالاً نشان دهنده تلاشی برای پنهان کردن آثار فعالیت آنها است، اگرچه پیام های قبلی در تاریخچه چت دست نخورده باقی می مانند.

طبق صفحه اصلی سایت، پلتفرم PhaaS در شبکه Clearnet قابل دسترسی است و نیاز به ثبت حساب “برای دسترسی به ابزارهای کلاهبرداری و هک” دارد.

ویدئویی که در ژانویه 2021 در Vimeo آپلود شد نشان می‌دهد که این سرویس قالب‌های کلاهبرداری آماده برای سایت‌های آنلاین مختلف مانند X، Facebook، Instagram، Skype، Yahoo، Netflix، Steam، Snapchat و PayPal را به زبان‌های انگلیسی، عربی و فرانسوی ارائه می‌کند. زبان ها این ویدیو تاکنون بیش از 67000 بازدید داشته است.

هکر نیوز همچنین ویدیوهای آموزشی آپلود شده در YouTube را شناسایی کرده است که بینندگان را طی مراحل مختلف مورد نیاز برای دانلود الگوها از Sniper Dz و راه‌اندازی صفحات فرود جعلی برای PUBG و Free Fire در پلتفرم‌های قانونی مانند Google Blogger می‌برد.

با این حال، مشخص نیست که آیا آنها ارتباطی با توسعه دهندگان Sniper Dz دارند یا فقط مشتریان این سرویس هستند.

Sniper Dz دارای قابلیت میزبانی صفحات فیشینگ در زیرساخت خود و ارائه پیوندهای سفارشی با اشاره به آن صفحات است. سپس این سایت ها در پشت یک سرور پروکسی قانونی (proxymesh(.)com) برای جلوگیری از شناسایی پنهان می شوند.

محققان گفتند: “گروه پشت Sniper Dz این سرور پراکسی را به گونه ای پیکربندی می کند که به طور خودکار محتوای فیشینگ را از سرور خود بدون اتصال مستقیم دانلود کند.”

“این فناوری می تواند به Sniper Dz کمک کند تا از سرورهای پشتیبان خود محافظت کند، زیرا مرورگر قربانی یا خزنده امنیتی می بیند که سرور پروکسی مسئول بارگیری محموله فیشینگ است.”

گزینه دیگر برای مجرمان سایبری این است که قالب های صفحه فیشینگ را به صورت آفلاین به عنوان فایل های HTML دانلود کرده و آنها را روی سرورهای خود میزبانی کنند. علاوه بر این، Sniper Dz ابزارهای اضافی را برای تبدیل قالب‌های فیشینگ به قالب بلاگر ارائه می‌کند که سپس می‌تواند در دامنه‌های Blogspot میزبانی شود.

اعتبارنامه های دزدیده شده در نهایت در پنل مدیریت نمایش داده می شود که با ورود به وب سایت Clearnet قابل دسترسی است. واحد 42 گفت که از ژوئیه 2024 افزایش فعالیت فیشینگ را با استفاده از Sniper Dz مشاهده کرده است که عمدتاً کاربران وب را در ایالات متحده هدف قرار می دهد.

محققان گفتند: “صفحات فیشینگ Sniper Dz اعتبار قربانی را استخراج کرده و آنها را از طریق یک زیرساخت متمرکز ردیابی می کنند.” “این ممکن است به Sniper Dz کمک کند تا اعتبار قربانیان سرقت شده توسط ترول ها را با استفاده از پلت فرم PhaaS آنها جمع آوری کند.”

این توسعه زمانی انجام شد که Cisco Talos فاش کرد که مهاجمان از صفحات وب متصل به زیرساخت SMTP، مانند صفحات فرم ایجاد حساب و سایر صفحاتی که باعث ارسال ایمیل به کاربر، دور زدن فیلترهای اسپم و توزیع ایمیل‌های فیشینگ می‌شوند، سوء استفاده می‌کنند.

امنیت سایبری

این حملات از اعتبار سنجی ورودی ضعیف و پاکسازی رایج در این فرم های وب برای جاسازی لینک ها و متن های مخرب استفاده می کنند. کمپین های دیگر برای دسترسی به حساب های ایمیل و ارسال هرزنامه، حملات پر کردن اعتبار را علیه سرورهای ایمیل سازمان های قانونی انجام می دهند.

جیسون شولتز، محقق Talos گفت: «بسیاری از وب‌سایت‌ها به کاربران این امکان را می‌دهند که برای یک حساب کاربری ثبت نام کنند و برای دسترسی به ویژگی‌ها یا محتوای خاص وارد شوند». معمولاً وقتی کاربر با موفقیت ثبت نام می کند، ایمیلی برای تایید حساب کاربری برای کاربر ارسال می شود.

“در این مورد، ارسال کننده هرزنامه فیلد نام را با متن و یک لینک اضافه بارگذاری کرده است، که متاسفانه به هیچ وجه تایید یا بهینه نشده است. ایمیل ارسالی به قربانی حاوی لینک اسپمر است.”

همچنین پس از کشف یک کمپین فیشینگ ایمیل جدید که از یک سند به ظاهر بی ضرر مایکروسافت اکسل استفاده می کند تا با استفاده از یک آسیب پذیری شناخته شده (CVE-2017-0199) یک نوع بدون فایل از Remcos RAT را گسترش دهد.

Trishan Kalra، یکی از محققین Trilex می گوید: «وقتی یک فایل اکسل را باز می کنید، از اشیاء OLE برای شروع دانلود و اجرای برنامه مخرب HTA استفاده می شود. این برنامه HTA متعاقباً یک سری دستورات PowerShell را راه‌اندازی می‌کند که به تزریق بدون فایل Remcos RAT به فرآیند قانونی ویندوز ختم می‌شود.»

این مقاله جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/10/free-sniper-dz-phishing-tools-fuel.html