Operação da Interpol derruba plataforma de phishing Sniper Dz e prende administrador
Aprofundamento CEVIU
Aprofundamento
O Sniper Dz não era só mais um kit de phishing barato: era uma fábrica de ataques com suporte técnico, infraestrutura gerenciada e até canal no Telegram com tutoriais em árabe e francês. Entre 2023 e 2024, ele alimentou mais de 140.000 páginas de phishing, e cada uma delas carregava um backdoor embutido para coletar credenciais mesmo quando o criminoso usava seu próprio servidor. Isso transformava o serviço em um 'phishing com garantia de entrega', com rastreamento em tempo real dos dados roubados.
A Operação Ramz foi a primeira a atacar o modelo de negócios do PhaaS na raiz: não só derrubou domínios e servidores (53 apreendidos), mas também interrompeu cadeias de exploração humana, como no caso da Jordânia, onde 15 vítimas de tráfico eram forçadas a operar golpes de investimento sob ameaça. A prisão de Guedz na Argélia fechou o ciclo de comando que mantinha a plataforma ativa desde 2015, com renomeações estratégicas (Joker Dz, Storm Dz) para evitar detecção.
Por que isso importa
PhaaS gratuitos como o Sniper Dz reduzem o custo de entrada para ataques em escala corporativa: basta um criminoso com conhecimento básico de redes sociais para lançar campanhas contra bancos, plataformas de streaming ou até órgãos públicos do Brasil. A presença de templates em português não foi confirmada, mas a estrutura multilíngue (árabe, inglês, francês, espanhol, hebraico) mostra que o alvo era global, e o Brasil está no roteiro de expansão de grupos MENA que já migraram para ataques direcionados via WhatsApp e SMS.
Empresas brasileiras precisam atualizar políticas de gestão de vulnerabilidades para incluir simulações de phishing com foco em engenharia social baseada em figuras públicas locais, não só em logotipos de serviços globais. O uso de proxy e backdoor nos kits também exige revisão nas regras de detecção de CDR e EDR: muitos desses payloads passam despercebidos por não serem executáveis tradicionais, mas scripts maliciosos injetados em HTML legítimo.
Perguntas frequentes
O que tornava o Sniper Dz diferente de outros serviços de phishing?
Ele oferecia toda a infraestrutura de graça, hospedagem, proxies, templates e suporte, enquanto monetizava apenas os dados roubados e o tráfego das vítimas. Além disso, cada página de phishing continha um backdoor embutido para coleta de credenciais em tempo real, mesmo se o criminoso usasse sua própria infraestrutura.
Por que a prisão de Guedz é estratégica para a segurança cibernética?
Guedz não era só um desenvolvedor: era o administrador único do canal Telegram, mantinha os servidores, atualizava os templates e controlava as renomeações sucessivas (Joker Dz, Storm Dz). Sem ele, o ecossistema de suporte ao serviço desmontou, algo raro em PhaaS descentralizados.
Quais setores no Brasil devem priorizar defesas contra esse tipo de ameaça?
Instituições financeiras, operadoras de telecomunicações e órgãos públicos que usam autenticação via SMS ou notificações push. O modelo de redirecionamento para fraudes de faturamento de operadoras e assinaturas premium já foi replicado em campanhas no Brasil desde 2025, segundo relatórios da CERT.br.
Como identificar se uma campanha de phishing no Brasil está usando variações do Sniper Dz?
Busque por domínios registrados em nome de provedores de hospedagem com alta concentração em Argélia, Tunísia e Egito; páginas que carregam scripts de rastreamento com nomes como 'track.js' ou 'log.php' em subpastas obscuras; e links que redirecionam primeiro para URLs com parâmetros como 'ref=', 'utm_source=' ou 'cid=' antes de chegar à página falsa.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 15 de junho de 2026
- Editoria
- CEVIU Segurança da Informação