Sniper Dz atakuje użytkowników MENA przez fałszywe oferty na Facebooku i nadużycia powiadomień przeglądarki - Security Bez Tabu

Sniper Dz atakuje użytkowników MENA przez fałszywe oferty na Facebooku i nadużycia powiadomień przeglądarki

Cybersecurity news

Wprowadzenie do problemu / definicja

Kampanie oszustw internetowych coraz częściej odchodzą od prostych schematów opartych wyłącznie na złośliwym oprogramowaniu lub klasycznych stronach phishingowych. Coraz większą rolę odgrywają legalne funkcje przeglądarek, zaufane platformy pośredniczące oraz precyzyjnie zaplanowana inżynieria społeczna. Taki model działania pozwala cyberprzestępcom obniżyć wykrywalność i zwiększyć skuteczność ataku.

Jednym z przykładów tego trendu jest aktywność powiązana z platformą Sniper Dz, wykorzystywaną w kampaniach wymierzonych w użytkowników z regionu Bliskiego Wschodu i Afryki Północnej. Ataki łączyły fałszywe oferty publikowane w mediach społecznościowych, nadużycia powiadomień push oraz mechanizmy monetyzacji ruchu i danych ofiar.

W skrócie

Badacze bezpieczeństwa opisali kampanie, w których fałszywe konta na Facebooku podszywały się pod polityków, osoby publiczne i zaufane organizacje. Przynęty obejmowały rzekome darmowe pakiety internetu mobilnego, rekompensaty finansowe oraz programy dopłat państwowych.

Po kliknięciu użytkownik nie trafiał bezpośrednio na stronę oszustwa, lecz przechodził przez wieloetapowy łańcuch przekierowań. Celem było zarówno wyłudzenie danych, jak i dalsza monetyzacja ofiary poprzez premium SMS, połączenia o podwyższonej opłacie, fałszywe inwestycje oraz długotrwałe nadużywanie powiadomień przeglądarki.

Kontekst / historia

Opisany schemat wpisuje się w szerszy rozwój modelu phishing-as-a-service, w którym operatorzy udostępniają gotową infrastrukturę do prowadzenia kampanii oszustw. Dzięki temu mniej zaawansowani przestępcy mogą korzystać z gotowych szablonów, mechanizmów przekierowań, paneli zarządzania i elementów analitycznych bez konieczności samodzielnego budowania zaplecza technicznego.

W przypadku Sniper Dz istotne jest to, że działalność nie ograniczała się do samego phishingu. Platforma miała umożliwiać wieloetapową monetyzację użytkownika, od wymuszenia zgody na powiadomienia push po kierowanie ofiary do kolejnych scenariuszy fraudowych. Dodatkowo kampanie były lokalizowane pod konkretne kraje, operatorów telekomunikacyjnych i grupy odbiorców, co zwiększało ich wiarygodność.

Analiza techniczna

Łańcuch ataku rozpoczynał się od postów publikowanych na Facebooku. Treści były stylizowane na legalne komunikaty promocyjne lub społeczne i zachęcały do szybkiego działania. Użytkownik miał odebrać rzekomą korzyść, ale po kliknięciu linku trafiał najpierw do usług pośredniczących typu „link in bio”, które utrudniają wykrywanie i blokowanie kampanii.

Następnie ofiara widziała komunikat nakłaniający do kliknięcia przycisku „Allow”, przedstawianego jako konieczny etap weryfikacji lub kontynuowania procesu. W praktyce oznaczało to nadanie stronie uprawnień do wysyłania powiadomień web push. Tego typu zgoda otwiera atakującym drogę do dalszego przesyłania fałszywych alertów i przekierowań nawet po opuszczeniu pierwotnej witryny.

W analizowanej infrastrukturze istotną rolę odgrywał klucz publiczny VAPID, wykorzystywany do identyfikacji usługi odpowiedzialnej za dostarczanie powiadomień. Powtarzalność tego samego klucza w różnych kampaniach może wskazywać na współdzieloną infrastrukturę i stanowić cenny artefakt analityczny pozwalający łączyć pozornie niezależne operacje.

Operatorzy stosowali także techniki manipulujące zachowaniem przeglądarki. Jedną z nich było przechwytywanie działania przycisku „Wstecz” poprzez wstrzykiwanie wielu stanów historii, co utrudniało użytkownikowi szybkie opuszczenie strony. Drugą był tab-under, czyli otwarcie nowej karty przy jednoczesnym cichym przekierowaniu aktywnej karty do kolejnego etapu oszustwa.

Po zapisaniu ofiary do systemu powiadomień następował etap właściwej monetyzacji. System dystrybucji ruchu dobierał dalszy scenariusz na podstawie lokalizacji, typu urządzenia i operatora komórkowego. Dzięki temu użytkownik mógł zostać skierowany do usług premium SMS, płatnych połączeń lub fałszywych ofert inwestycyjnych.

Konsekwencje / ryzyko

Ryzyko związane z tego typu kampanią ma charakter wielowarstwowy. W najbardziej oczywistym scenariuszu ofiara może utracić dane logowania, informacje osobowe lub inne wrażliwe dane, jeśli końcowy etap zawiera formularze phishingowe. Jednak nawet bez klasycznego malware skutki finansowe mogą być bardzo realne.

Użytkownik może zostać nieświadomie zapisany do płatnych usług, obciążony kosztami połączeń o podwyższonej opłacie albo wciągnięty w kolejne oszustwa inwestycyjne. Dodatkowo nadużycia powiadomień push mogą prowadzić do uporczywego nękania fałszywymi alertami i ponownymi próbami przekierowań.

Z punktu widzenia obrony szczególnie groźne jest to, że kampania wykorzystuje legalne mechanizmy przeglądarki oraz renomowane usługi pośredniczące. Taki model obniża skuteczność klasycznych narzędzi antymalware, które koncentrują się głównie na wykrywaniu złośliwych plików i znanych wskaźników kompromitacji.

Na ryzyko narażone są również marki, operatorzy telekomunikacyjni i instytucje publiczne, pod które podszywają się oszuści. Fałszywe promocje i rzekome dopłaty mogą osłabiać zaufanie odbiorców do prawdziwych kanałów komunikacji i generować wymierne straty reputacyjne.

Rekomendacje

Organizacje powinny rozwijać monitoring nadużyć marki w mediach społecznościowych oraz wdrażać szybkie procedury reagowania na fałszywe konta, reklamy i strony pośredniczące. Warto również analizować infrastrukturę web push, korelować klucze VAPID, domeny pośrednie oraz wzorce przekierowań.

Po stronie użytkowników podstawą jest ostrożność wobec ofert obiecujących natychmiastowe korzyści finansowe, darmowy internet czy świadczenia socjalne. Szczególną czujność należy zachować wobec stron, które wymagają kliknięcia „Allow” bez jasnego i uzasadnionego celu.

  • Nie akceptować powiadomień przeglądarki na nieznanych lub podejrzanych stronach.
  • Regularnie przeglądać listę witryn posiadających zgodę na wysyłanie powiadomień i usuwać nieznane wpisy.
  • Blokować znane wzorce złośliwych przekierowań i domen pośrednich.
  • Monitorować nietypowe żądania zgód na powiadomienia push.
  • Edukować użytkowników w zakresie oszustw wykorzystujących legalne funkcje przeglądarki.
  • Analizować zdarzenia związane z manipulacją historią przeglądarki oraz techniką tab-under.
  • Stosować filtrację DNS i proxy do identyfikacji łańcuchów przekierowań charakterystycznych dla fraudów afiliacyjnych i phishingowych.

W środowiskach korporacyjnych pomocne może być również ograniczenie możliwości nadawania uprawnień do powiadomień wyłącznie dla zatwierdzonych domen. Takie podejście zmniejsza ryzyko trwałego nadużywania przeglądarki jako kanału dalszych oszustw.

Podsumowanie

Kampania powiązana ze Sniper Dz pokazuje, że współczesne oszustwa internetowe coraz skuteczniej wykorzystują nie tylko socjotechnikę, ale też legalne elementy ekosystemu webowego. Zamiast infekować urządzenia tradycyjnym malware, atakujący prowadzą ofiarę przez złożony łańcuch przekierowań, nadużyć powiadomień i mechanizmów monetyzacji.

Dla zespołów bezpieczeństwa oznacza to konieczność szerszego spojrzenia na zagrożenia webowe. Ochrona musi obejmować nie tylko pliki i klasyczne wskaźniki kompromitacji, lecz także analizę zachowań przeglądarki, infrastruktury powiadomień push, usług pośredniczących i wzorców oszustw afiliacyjnych.

Źródła

  1. https://thehackernews.com/2026/06/sniper-dz-scams-target-mena-users-via.html
  2. https://blog.mozilla.org/services/2016/08/23/sending-vapid-identified-webpush-notifications-via-mozillas-push-service/
  3. https://www.group-ib.com/