Outils de phishing Sniper Dz
Au cours de l’année écoulée, les chercheurs ont identifié plus de 140 000 sites Web de phishing liés à une plateforme de phishing en tant que service (PhaaS) connue sous le nom de Sniper Dz, soulignant son utilisation généralisée parmi les cybercriminels pour le vol d’informations d’identification.
Sniper Dz propose aux attaquants potentiels un panneau d'administration en ligne proposant une gamme de modèles de phishing. Selon un rapport technique, les utilisateurs peuvent soit utiliser les propres services d'hébergement de Sniper Dz pour ces pages, soit télécharger les modèles pour les exécuter sur leurs propres serveurs.
L'attrait de la plateforme est d'autant plus grand que ces services sont offerts gratuitement. Il faut toutefois noter que les identifiants collectés via ces sites de phishing sont renvoyés aux opérateurs de la plateforme PhaaS, une tactique qualifiée de double vol par les experts.
Table des matières
Les cybercriminels s'appuient de plus en plus sur les plateformes PhaaS
Les plateformes de phishing-as-a-Service (PhaaS) deviennent un point d'entrée de plus en plus populaire pour les cybercriminels en herbe, permettant aux individus ayant des compétences techniques minimales de lancer des attaques de phishing à grande échelle. Ces kits de phishing sont facilement disponibles à l'achat sur Telegram, où des canaux et des groupes dédiés prennent en charge chaque aspect de la chaîne d'attaque, des services d'hébergement à l'envoi de messages de phishing.
Sniper Dz est l'une de ces plateformes, qui exploite une chaîne Telegram qui compte plus de 7 170 abonnés au 1er octobre 2024. Cette chaîne est active depuis le 25 mai 2020. Notamment, suite au rapport des experts en cybersécurité, les administrateurs de cette chaîne ont activé une fonction de suppression automatique qui supprime les publications après un mois. Cette décision indique probablement un effort pour effacer les traces de leurs activités, bien que les messages antérieurs restent accessibles dans l'historique des discussions. La plateforme PhaaS est disponible sur le clearnet et ses utilisateurs doivent créer un compte pour accéder à ses « tactiques et outils de piratage ».
Tutoriels vidéo sur les outils de phishing
Une vidéo mise en ligne sur Vimeo en janvier 2021 montre que le service fournit des modèles de tactiques prêts à l'emploi pour diverses plateformes en ligne, notamment X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat et PayPal, disponibles en anglais, en arabe et en français. Cette vidéo a été visionnée plus de 67 000 fois à ce jour.
En outre, les chercheurs ont trouvé des tutoriels vidéo sur YouTube qui guident les spectateurs à travers les étapes nécessaires pour télécharger des modèles de Sniper Dz et créer de fausses pages de destination pour des jeux comme PUBG et Free Fire en utilisant des plateformes légitimes telles que Google Blogger. Cependant, il n'est pas clair si ces créateurs de tutoriels sont affiliés aux développeurs de Sniper Dz ou sont simplement des utilisateurs du service.
Comment fonctionnent les outils de phishing Sniper Dz
Sniper Dz offre la possibilité d'héberger des pages de phishing sur sa propre infrastructure, en fournissant des liens personnalisés qui dirigent les utilisateurs vers ces pages. Pour échapper à la détection, ces sites sont dissimulés derrière un serveur proxy légitime (proxymesh.com), configuré par le groupe Sniper Dz pour charger automatiquement le contenu de phishing depuis son propre serveur sans communication directe.
Cette méthode permet de protéger les serveurs back-end de Sniper Dz, car le navigateur de la victime ou un robot de sécurité perçoit le serveur proxy comme responsable de la livraison de la charge utile de phishing. Les cybercriminels peuvent également télécharger des modèles de pages de phishing sous forme de fichiers HTML pour une utilisation hors ligne et les héberger sur leurs propres serveurs. Sniper Dz fournit également des outils supplémentaires pour convertir ces modèles au format Blogger, ce qui permet de les héberger sur des domaines Blogspot.
Les identifiants collectés sont finalement affichés sur un panneau d'administration accessible en se connectant au site clearnet. Les experts ont noté une augmentation des activités de phishing utilisant Sniper Dz, ciblant en particulier les utilisateurs Web aux États-Unis, qui a commencé en juillet 2024.
Les pages de phishing associées à Sniper Dz sont conçues pour exfiltrer les informations d'identification des victimes et les suivre via une infrastructure centralisée, aidant probablement Sniper Dz à collecter les informations d'identification volées par les hameçonneurs qui utilisent leur plateforme PhaaS.
