Group-IB anunció el jueves que una operación dirigida por INTERPOL el mes pasado condujo a la destrucción de Sniper Dz, una plataforma de phishing como servicio (PhaaS) de 10 años de antigüedad.
El esfuerzo, cuyo nombre en código es Operación Rams, se desarrolló entre octubre de 2025 y febrero de 2026 y resultó en el arresto de 201 personas por parte de las autoridades de 13 países de la región de Medio Oriente y Norte de África (MENA).
Entre ellos se encontraba Guedz, el principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que supuestamente recopiló más de 45.000 registros de víctimas. La detención fue llevada a cabo por la Policía Nacional de Argelia. A lo largo de los años, la plataforma ha cambiado de nombre a Joker Dz, Storm Dz y Spam Dz.
Como parte de la Operación Ramz, se eliminaron sitios web utilizados para proporcionar funcionalidad PhaaS a otros ciberdelincuentes. Las autoridades también confiscaron hardware, incluidos scripts y software de phishing.
«Sniper Dz, que ha estado activo desde al menos 2015, ha evolucionado hasta convertirse en una sofisticada plataforma criminal que proporciona a los ciberdelincuentes kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo», dijo la firma de ciberseguridad con sede en Singapur.
Desde entonces, se han identificado más de 20.000 dominios únicos relacionados con servicios PhaaS. El conjunto de herramientas estaba dirigido principalmente a 30 organizaciones globales importantes, incluidas PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, y utilizó 80 plantillas de phishing implementadas en cinco idiomas, incluidos árabe, inglés, francés, español y hebreo.
Las campañas de phishing que utilizaban Sniper Dz utilizaban sitios web de imitación convincentes para hacerse pasar por marcas populares y agencias gubernamentales para identificar a los usuarios de tecnología, redes sociales y plataformas de transmisión en múltiples geografías con el objetivo de recopilar credenciales, información personal y otros datos confidenciales.
«Más allá del tradicional robo de credenciales, la plataforma también aprovechó técnicas de ingeniería social para explotar la popularidad y credibilidad de celebridades en Medio Oriente y el norte de África», explicó Group-IB. «Los atacantes crearon cuentas falsas en las redes sociales haciéndose pasar por políticos conocidos y las utilizaron para promover ofertas promocionales y enlaces de phishing disfrazados de acceso gratuito a Internet».
Sniper Dz fue objeto de un análisis exhaustivo por parte de la Unidad 42 de Palo Alto Networks en octubre de 2024. En ese análisis, el actor de amenazas utilizó un canal de Telegram con más de 7300 suscriptores para compartir un video tutorial que detalla las opciones que ofrecía el canal para alojar páginas de phishing en su propia infraestructura detrás de un servidor proxy.
Lo que hace que Sniper Dz se destaque en el concurrido mercado PhaaS es que ofrece toda su infraestructura de forma gratuita, lo que facilita a los ciberdelincuentes ambiciosos ejecutar campañas de phishing a gran escala. En cambio, los métodos de monetización se basaron en el robo de credenciales y el tráfico de víctimas.
«Las credenciales robadas se pueden recopilar a través de campañas de phishing, mientras que los usuarios que no entregan sus credenciales aún pueden ser redirigidos a fraudes de facturación del operador, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas fraudulentas impulsadas por afiliados», dijo Group-IB.
Source link
