Analyse des campagnes de fraude Sniper Dz dans la région MENA

La plateforme de « Phishing-as-a-Service » (PhaaS) Sniper Dz, bien que démantelée récemment par INTERPOL, a illustré une méthode de fraude sophistiquée ciblant principalement les utilisateurs du Moyen-Orient et d’Afrique du Nord (MENA). Plutôt que d’utiliser des logiciels malveillants classiques, cette infrastructure exploite des fonctionnalités légitimes du navigateur et des plateformes de confiance pour monétiser le trafic.

Points clés :

• Ingénierie sociale : Utilisation de faux profils Facebook (usurpation d’identités publiques ou d’organismes officiels) pour proposer de fausses offres (subventions, internet gratuit).
• Détournement de plateformes : Utilisation de services de « lien en bio » (Linktree, Linkbio) pour servir de couche intermédiaire et gagner la confiance de la victime avant la redirection vers des sites malveillants.
• Monétisation multimodale : Les victimes sont dirigées vers un système de distribution de trafic (TDS) qui propose, selon le profil de l’utilisateur, des arnaques aux SMS surtaxés, des appels surtaxés ou des investissements frauduleux.
• Infrastructure persistante : L’usage de clés VAPID (Voluntary Application Server Identification) communes à plusieurs campagnes prouve l’utilisation d’un écosystème de notifications push mutualisé par les attaquants.

Vulnérabilités exploitées (Méthodes techniques) :

• Abus des notifications push : Incitation des utilisateurs à cliquer sur « Autoriser » pour s’abonner à des flux de notifications indésirables.
• Détournement du bouton « Retour » (Back button hijacking) : Injection de faux historiques de navigation pour empêcher la sortie du site et forcer l’exposition aux publicités.
• Technique du « Tab-under » : Redirection silencieuse de l’onglet original vers une page malveillante lors de l’ouverture d’un nouveau lien, maintenant la victime dans l’écosystème de fraude.

Recommandations :

• Vigilance sur les notifications : Ne jamais cliquer sur « Autoriser » ou « Accepter » sur des sites web suspects demandant l’accès aux notifications push.
• Méfiance vis-à-vis des offres trop généreuses : Rester prudent face aux promotions circulant sur les réseaux sociaux, même si elles semblent émaner d’organismes officiels (toujours vérifier sur le site officiel de l’entité).
• Gestion des permissions : Vérifier régulièrement les paramètres de son navigateur pour supprimer les autorisations de notifications accordées à des sites inconnus ou suspects.
• Analyse des liens : Être vigilant lors de l’utilisation de services de raccourcissement de liens, surtout s’ils sont utilisés comme point d’entrée vers des offres financières ou des services publics.

Source