Negli ultimi tempi, si è registrato un incremento significativo degli attacchi di phishing, con oltre 140.000 siti web di phishing collegati a una piattaforma di phishing-as-a-service (PhaaS) denominata Sniper Dz. Questa piattaforma sta diventando uno strumento popolare tra i cybercriminali per il furto di credenziali, facilitando anche chi possiede scarse competenze tecniche a lanciare attacchi di phishing su larga scala.

Sniper Dz

Sniper Dz offre un pannello di amministrazione online con un catalogo di pagine di phishing che possono essere ospitate sull'infrastruttura di Sniper Dz o scaricate come modelli da ospitare su server propri. Questi servizi sono offerti gratuitamente, ma le credenziali raccolte vengono esfiltrate anche agli operatori della piattaforma PhaaS, una tecnica definita da Microsoft come furto doppio.

Le piattaforme PhaaS stanno diventando sempre più comuni, consentendo agli aspiranti attori delle minacce di entrare nel mondo del crimine informatico. I kit di phishing possono essere acquistati tramite Telegram, dove canali e gruppi dedicati forniscono servizi che vanno dall'hosting delle pagine di phishing all'invio di messaggi di phishing. Il canale Telegram di Sniper Dz, con oltre 7.170 iscritti a partire dal 1° ottobre 2024, è un esempio di come questi servizi siano organizzati e distribuiti.

Accessibilità e Modelli

La piattaforma è accessibile tramite il clearnet e richiede la registrazione di un account. Un video caricato su Vimeo nel gennaio 2021 mostra come il servizio offra modelli di truffa pronti all'uso per vari siti online come Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal in diverse lingue. Sniper Dz consente inoltre di convertire i modelli di phishing nel formato Blogger, facilitando l'hosting su domini Blogspot.

Osservazioni dei Ricercatori

I ricercatori di Unit 42 hanno osservato un aumento dell'attività di phishing utilizzando Sniper Dz, con un picco a partire da luglio 2024 negli Stati Uniti. Gli attacchi di phishing sfruttano pagine web collegate a infrastrutture SMTP backend per bypassare i filtri antispam e distribuire email di phishing. Questi attacchi approfittano della scarsa validazione e sanificazione degli input presenti su tali form web per includere link e testo dannosi.

Inoltre, una nuova campagna di phishing via email sfrutta un documento Excel apparentemente innocuo per propagare una variante senza file di Remcos RAT, sfruttando una vulnerabilità di sicurezza nota (CVE-2017-0199). L'apertura del file Excel innesca il download e l'esecuzione di un'applicazione HTA dannosa, che a sua volta lancia una catena di comandi PowerShell culminanti nell'iniezione di Remcos RAT in un processo Windows legittimo.

L'incremento delle attività di phishing e l'evoluzione delle tecniche utilizzate sottolineano l'importanza di una costante vigilanza e dell'adozione di misure di sicurezza avanzate per proteggere le credenziali degli utenti e prevenire attacchi informatici su larga scala.