Lebih dari 140.000 situs web phishing ditemukan terkait dengan platform phishing-as-a-service (PhaaS) bernama Sniper Dz selama setahun terakhir, yang menunjukkan bahwa platform tersebut digunakan oleh sejumlah besar penjahat dunia maya untuk melakukan pencurian kredensial.
“Untuk calon phisher, Sniper Dz menawarkan panel admin online dengan katalog halaman phishing,” kata peneliti Palo Alto Networks Unit 42 Shehroze Farooqi, Howard Tong, dan Alex Starov dalam laporan teknis.
“Phisher dapat menghosting halaman phishing ini di infrastruktur milik Sniper Dz atau mengunduh template phishing Sniper Dz untuk dihosting di server mereka sendiri.”
Mungkin yang membuatnya lebih menguntungkan adalah layanan ini diberikan secara gratis. Meskipun demikian, kredensial yang diambil menggunakan situs phishing juga dieksfiltrasi ke operator platform PhaaS, sebuah teknik yang disebut Microsoft sebagai pencurian ganda.
Platform PhaaS telah menjadi cara yang semakin umum bagi calon pelaku ancaman untuk memasuki dunia kejahatan dunia maya, sehingga memungkinkan bahkan mereka yang memiliki sedikit keahlian teknis untuk melakukan serangan phishing dalam skala besar.
Perangkat phishing semacam itu dapat dibeli melalui Telegram, dengan saluran dan grup khusus yang melayani setiap aspek rantai serangan, mulai dari layanan hosting hingga pengiriman pesan phishing.
Tak terkecuali Sniper Dz, pelaku ancaman mengoperasikan saluran Telegram dengan lebih dari 7.170 pelanggan per 1 Oktober 2024. Saluran tersebut dibuat pada 25 Mei 2020.
Menariknya, sehari setelah laporan Unit 42 ditayangkan, orang-orang di balik saluran tersebut telah mengaktifkan opsi hapus otomatis untuk menghapus semua postingan secara otomatis setelah satu bulan. Hal ini mungkin menunjukkan upaya untuk menutupi jejak aktivitas mereka, meskipun pesan sebelumnya tetap utuh dalam riwayat obrolan.
Platform PhaaS dapat diakses di clearnet dan memerlukan pendaftaran akun untuk “mendapatkan alat penipuan dan peretasan Anda,” menurut halaman beranda situs web tersebut.
Sebuah video yang diunggah ke Vimeo pada Januari 2021 menunjukkan bahwa layanan tersebut menawarkan templat penipuan siap pakai untuk berbagai situs online seperti X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat, dan PayPal dalam bahasa Inggris, Arab, dan Prancis bahasa. Video tersebut telah ditonton lebih dari 67.000 kali hingga saat ini.
Hacker News juga telah mengidentifikasi video tutorial yang diunggah ke YouTube yang membawa pemirsa melalui berbagai langkah yang diperlukan untuk mengunduh template dari Sniper Dz dan menyiapkan halaman arahan palsu untuk PUBG dan Free Fire pada platform sah seperti Google Blogger.
Namun, tidak jelas apakah mereka memiliki hubungan dengan pengembang Sniper Dz, atau apakah mereka hanya pelanggan layanan tersebut.
Sniper Dz hadir dengan kemampuan untuk menghosting halaman phishing pada infrastrukturnya sendiri dan menyediakan tautan khusus yang mengarah ke halaman tersebut. Situs-situs ini kemudian disembunyikan di balik server proxy yang sah (proxymesh[.]com) untuk mencegah deteksi.
“Kelompok di belakang Sniper Dz mengkonfigurasi server proxy ini untuk secara otomatis memuat konten phishing dari servernya sendiri tanpa komunikasi langsung,” kata para peneliti.
“Teknik ini dapat membantu Sniper Dz untuk melindungi server backendnya, karena browser korban atau crawler keamanan akan melihat server proxy bertanggung jawab memuat muatan phishing.”
Pilihan lain bagi penjahat dunia maya adalah mengunduh templat halaman phishing secara offline sebagai file HTML dan menyimpannya di server mereka sendiri. Selain itu, Sniper Dz menawarkan alat tambahan untuk mengonversi template phishing ke format Blogger yang kemudian dapat dihosting di domain Blogspot.
Kredensial yang dicuri pada akhirnya ditampilkan pada panel admin yang dapat diakses dengan masuk ke situs clearnet. Unit 42 mengatakan pihaknya mengamati lonjakan aktivitas phishing menggunakan Sniper Dz, terutama menargetkan pengguna web di AS, mulai Juli 2024.
“Halaman phishing Sniper Dz menyaring kredensial korban dan melacaknya melalui infrastruktur terpusat,” kata para peneliti. “Hal ini dapat membantu Sniper Dz mengumpulkan kredensial korban yang dicuri oleh phisher yang menggunakan platform PhaaS mereka.”
Perkembangan ini terjadi ketika Cisco Talos mengungkapkan bahwa penyerang menyalahgunakan halaman web yang terhubung ke infrastruktur SMTP backend, seperti halaman formulir pembuatan akun dan lainnya yang memicu email kembali ke pengguna, untuk melewati filter spam dan mendistribusikan email phishing.
Serangan-serangan ini memanfaatkan validasi masukan yang buruk dan sanitasi yang lazim di formulir web ini untuk menyertakan tautan dan teks berbahaya. Kampanye lain melakukan serangan pengisian kredensial terhadap server email organisasi yang sah untuk mendapatkan akses ke akun email dan mengirim spam.
“Banyak situs web yang memungkinkan pengguna untuk mendaftar akun dan masuk untuk mengakses fitur atau konten tertentu,” kata peneliti Talos Jaeson Schultz. “Biasanya, setelah pendaftaran pengguna berhasil, sebuah email dikirim kembali ke pengguna untuk mengonfirmasi akun.”
“Dalam kasus ini, pelaku spam telah mengisi kolom nama dengan teks dan tautan, yang sayangnya tidak divalidasi atau dibersihkan dengan cara apa pun. Email yang dikembalikan ke korban berisi tautan pelaku spam.”
Hal ini juga menyusul ditemukannya kampanye phishing email baru yang memanfaatkan dokumen Microsoft Excel yang tampaknya tidak berbahaya untuk menyebarkan varian Remcos RAT tanpa file dengan mengeksploitasi kelemahan keamanan yang diketahui (CVE-2017-0199).
“Saat membuka [Excel] file, objek OLE digunakan untuk memicu pengunduhan dan eksekusi aplikasi HTA berbahaya,” kata peneliti Trellix Trishaan Kalra. “Aplikasi HTA ini kemudian meluncurkan rangkaian perintah PowerShell yang berujung pada injeksi RAT Remcos tanpa file ke dalam Windows yang sah proses.”