Phishing-Tools von Free Sniper Dz nehmen massenhaft Nutzerkonten ins Visier
Im letzten Jahr wurden über 140.000 Phishing-Websites entdeckt, die mit der berüchtigten Phishing-as-a-Service-(PhaaS)-Plattform Sniper Dz in Verbindung stehen. Diese erschreckende Zahl deutet darauf hin, dass eine große und wachsende Anzahl von Cyberkriminellen diese Plattform nutzt, um in großem Stil Zugangsdaten von ahnungslosen Nutzern weltweit zu stehlen. Sniper Dz bietet leicht zugängliche Tools und Vorlagen, mit denen selbst unerfahrene Angreifer komplexe Phishing-Angriffe durchführen können.
Für angehende Cyberkriminelle bietet die Plattform Sniper Dz eine leistungsstarke und zugängliche Infrastruktur, die es Phishern ermöglicht, ohne großes technisches Know-how Phishing-Angriffe durchzuführen. Laut den Forschern Shehroze Farooqi, Howard Tong und Alex Starov von Palo Alto Networks Unit 42 bietet Sniper Dz ein Online-Admin-Panel mit einem umfassenden Katalog von Phishing-Seiten, die entweder auf der Sniper Dz-Infrastruktur gehostet oder als Vorlagen heruntergeladen und auf eigenen Servern betrieben werden können.
Das besonders Besorgniserregende: Diese Phishing-Dienste sind kostenlos verfügbar. Das bedeutet, dass auch unerfahrene Bedrohungsakteure in der Lage sind, gezielte Angriffe auf Nutzer durchzuführen. Ein weiteres lukratives Detail für die Betreiber der Plattform ist, dass die über diese Phishing-Seiten erlangten Anmeldedaten nicht nur den Phishern selbst, sondern auch den Betreibern der Phishing-as-a-Service (PhaaS)-Plattform zugänglich gemacht werden. Microsoft bezeichnet dieses Vorgehen als „doppelten Diebstahl“.
PhaaS-Dienste werden in der Cyberkriminalität immer beliebter, da sie es selbst technisch unerfahrenen Kriminellen ermöglichen, Phishing-Angriffe in großem Stil durchzuführen. Diese Dienste vereinfachen den Prozess erheblich, indem sie gebrauchsfertige Kits bereitstellen, die Angreifer lediglich einsetzen müssen. Solche Phishing-Kits können über Telegram-Gruppen und Kanäle erworben werden, die sich auf jeden Aspekt der Phishing-Angriffskette spezialisieren. Diese Kanäle bieten Hilfestellungen beim Hosting von Diensten, beim Versand von Phishing-Nachrichten und bei der Erstellung gefälschter Websites.
Sniper Dz ist keine Ausnahme und betreibt einen eigenen Telegram-Kanal, der bis Oktober 2024 über 7.170 Abonnenten hat. Der Kanal, der am 25. Mai 2020 gestartet wurde, ermöglicht es den Nutzern, sich über verschiedene Phishing-Techniken auszutauschen und auf die neuesten Tools und Vorlagen zuzugreifen.
Nachdem der Bericht von Unit 42 veröffentlicht wurde, aktivierten die Betreiber des Telegram-Kanals eine Funktion, die Beiträge nach einem Monat automatisch löscht. Dies deutet auf einen Versuch hin, Spuren ihrer kriminellen Aktivitäten zu verwischen. Frühere Nachrichten im Chatverlauf blieben jedoch weiterhin zugänglich.
Die Sniper Dz-Plattform ist über das Clearnet erreichbar und erfordert eine Anmeldung, um Zugang zu den angebotenen Phishing- und Hack-Tools zu erhalten. Ein auf Vimeo veröffentlichtes Video, das im Januar 2021 hochgeladen wurde, zeigt detailliert, wie der Dienst fertige Phishing-Vorlagen für bekannte Plattformen wie Facebook, Instagram, PayPal, X (früher Twitter), Snapchat und Netflix in verschiedenen Sprachen (Englisch, Arabisch, Französisch) bereitstellt. Dieses Video wurde bis heute über 67.000 Mal angesehen, was auf die weite Verbreitung und Attraktivität des Dienstes hinweist.
Außerdem wurden Tutorial-Videos auf YouTube entdeckt, die den Zuschauern die verschiedenen Schritte zeigen, um Vorlagen von Sniper Dz herunterzuladen und gefälschte Landing Pages für PUBG und Free Fire auf legitimen Plattformen wie Google Blogger einzurichten.
Es ist jedoch unklar, ob die Ersteller dieser Videos eine Verbindung zu den Entwicklern von Sniper Dz haben oder ob sie lediglich Kunden des Dienstes sind.
Die Phishing-Seiten, die auf Sniper Dz gehostet werden, sind darauf ausgelegt, Benutzer über maßgeschneiderte Links anzulocken. Diese Links verweisen auf Phishing-Seiten, die hinter einem legitimen Proxyserver (proxymesh[.]com) versteckt sind, um eine Entdeckung zu verhindern. Die Angreifer konfigurieren den Proxyserver so, dass er die Phishing-Inhalte von einem Backend-Server lädt, ohne dass eine direkte Kommunikation erkennbar ist. Dies verschleiert die eigentliche Quelle der Phishing-Seite und macht es schwieriger, die Angriffe zurückzuverfolgen.
Für Kriminelle, die nicht auf die Sniper Dz-Infrastruktur zurückgreifen möchten, bietet die Plattform die Möglichkeit, Phishing-Seiten als HTML-Dateien herunterzuladen und auf eigenen Servern zu hosten. Darüber hinaus stellt Sniper Dz Tools zur Verfügung, mit denen Phishing-Seiten ins Blogger-Format konvertiert werden können, sodass sie auf Blogspot-Domains gehostet werden können, um den Anschein von Legitimität zu erwecken.
Die gestohlenen Anmeldedaten, die über diese Phishing-Angriffe erbeutet werden, werden in einem Admin-Panel gesammelt, auf das die Angreifer nach Anmeldung auf der Sniper Dz-Seite zugreifen können. Die gestohlenen Daten sind auch für die Betreiber der Plattform zugänglich, was die Attraktivität der Nutzung von Sniper Dz für Cyberkriminelle erhöht.
Ab Juli 2024 beobachtete Unit 42 einen deutlichen Anstieg der Phishing-Aktivitäten, die über Sniper Dz durchgeführt wurden, insbesondere gegen Internetnutzer in den USA. Diese Aktivitäten zeigen, wie effektiv und weit verbreitet Phishing-as-a-Service-Plattformen wie Sniper Dz mittlerweile sind.
Parallel dazu hat Cisco Talos aufgedeckt, dass Angreifer zunehmend Webseiten missbrauchen, die mit Backend-SMTP-Infrastrukturen verbunden sind, um Phishing-E-Mails zu verbreiten. Diese Angriffe zielen auf Webformularseiten ab, die oft unzureichend validiert sind und es den Angreifern ermöglichen, bösartige Links und Inhalte einzufügen, die dann über legitime Kanäle an die Opfer weitergeleitet werden.
Eine weitere neu entdeckte E-Mail-Phishing-Kampagne nutzt ein scheinbar harmloses Microsoft-Excel-Dokument, um eine dateilose Variante von Remcos RAT zu verbreiten, indem sie eine bekannte Sicherheitslücke (CVE-2017-0199) ausnutzt.
„Beim Öffnen der Excel-Datei werden OLE-Objekte verwendet, um den Download und die Ausführung einer bösartigen HTA-Anwendung auszulösen“, erklärt Trellix-Experte Trishaan Kalra. „Diese HTA-Anwendung startet dann eine Kette von PowerShell-Befehlen, die letztlich zur Injektion eines dateilosen Remcos RAT in einen legitimen Windows-Prozess führt.“
Während diese Plattformen und Techniken immer raffinierter werden, bleibt die Gefahr bestehen, dass Phishing-Angriffe zunehmend schwerwiegendere Folgen haben. Cyberkriminelle nutzen weiterhin Sicherheitslücken in legitimen Webdiensten und Tools wie Sniper Dz, um großangelegte Phishing-Kampagnen durchzuführen, die Millionen von Nutzern weltweit betreffen.