Uma operação liderada pela Interpol no mês passado resultou na desarticulação do Sniper Dz, uma plataforma de phishing como serviço (PhaaS, na sigla em inglês) em atividade há uma década, informou a Group-IB nesta quinta-feira.
A ação, batizada de Operação Ramz, ocorreu entre outubro de 2025 e fevereiro de 2026 e resultou em 201 prisões efetuadas por autoridades de 13 países da região do Oriente Médio e Norte da África (MENA, na sigla em inglês).
Entre os presos está Guedz, desenvolvedor e administrador principal do Sniper Dz, serviço de PhaaS que teria reunido mais de 45.000 registros de vítimas. A prisão foi feita pela Polícia Nacional da Argélia. Ao longo dos anos, a plataforma se renomeou como Joker Dz, Storm Dz e Spam Dz.
Como parte da Operação Ramz, o site usado para oferecer recursos de PhaaS a outros cibercriminosos foi derrubado. As autoridades também apreenderam hardware contendo softwares e scripts de phishing.
Plataforma sofisticada e global
"Ativo desde pelo menos 2015, o Sniper Dz evoluiu para uma plataforma criminosa sofisticada, oferecendo kits de phishing prontos, infraestrutura de hospedagem e suporte operacional a cibercriminosos", afirmou a empresa de segurança cibernética sediada em Singapura.
Desde então, mais de 20.000 domínios únicos associados ao serviço de PhaaS foram identificados. O kit tinha como alvo principal 30 grandes organizações globais, incluindo PayPal, Facebook, Instagram, Yahoo, Netflix e Steam, usando 80 modelos de phishing distribuídos em cinco idiomas, entre eles árabe, inglês, francês, espanhol e hebraico.
Campanhas de phishing que utilizavam o Sniper Dz miraram usuários de plataformas de tecnologia, mídias sociais e streaming em diversas regiões, imitando marcas populares e órgãos governamentais por meio de sites falsificados bastante convincentes, com o objetivo de coletar credenciais, informações pessoais e outros dados sensíveis.
Técnicas e modelo de negócio
"Além do roubo tradicional de credenciais, a plataforma também se valeu de técnicas de engenharia social que exploravam a popularidade e a credibilidade de figuras públicas no Oriente Médio e no Norte da África", explicou a Group-IB. "Agentes de ameaça criavam contas falsas em redes sociais se passando por personalidades políticas conhecidas e as utilizavam para promover links de phishing disfarçados de ofertas promocionais ou acesso gratuito à internet."
O Sniper Dz foi alvo de uma análise abrangente da Palo Alto Networks Unit 42 em outubro de 2024, que detalhou o uso, pelo agente de ameaça, de um canal no Telegram com mais de 7.300 inscritos para compartilhar vídeos tutoriais e as opções oferecidas para hospedar as páginas de phishing em sua própria infraestrutura, protegida por um servidor proxy.
O que diferenciava o Sniper Dz no mercado concorrido de PhaaS era o oferecimento gratuito de toda a sua infraestrutura, facilitando a realização de campanhas de phishing em larga escala por cibercriminosos iniciantes. As vias de monetização se baseavam no roubo de credenciais e no tráfego das vítimas.
"As credenciais roubadas podiam ser coletadas por meio de campanhas de phishing, enquanto usuários que não cediam credenciais podiam ser redirecionados para fraudes de faturamento via operadora, assinaturas premium de SMS, esquemas de abuso de notificações no navegador e outras campanhas de golpes comissionados", afirmou a Group-IB.
