Investigadores de ciberseguridad han revelado detalles de actividades fraudulentas dirigidas a usuarios de todo Oriente Medio y el Norte de África mediante el empleo de varias cuentas fraudulentas de Facebook que se hacen pasar por políticos, figuras públicas y organizaciones de confianza.

«Estas cuentas promovían ofertas falsas, incluidos paquetes gratuitos de Internet móvil, compensaciones financieras y programas de subsidios gubernamentales», dijeron los analistas de Group-IB Anna Yurtaeva y Viacheslav Shevchenko. dicho.

«Se animaba a las víctimas a hacer clic en enlaces integrados para reclamar los beneficios anunciados, pero en lugar de ello eran redirigidas a través de una cadena de sitios web intermediarios que, en última instancia, conducían al phishing y a la infraestructura de monetización del tráfico».

La empresa de ciberseguridad con sede en Singapur dirige estas campañas a Sniper Dz, una plataforma llave en mano de phishing como servicio (PhaaS) que fue desmantelada el mes pasado en una operación dirigida por INTERPOL. Los hallazgos indican que la plataforma va más allá de facilitar el robo de credenciales, generando ingresos ilícitos a través del abuso de notificaciones en el navegador, suscripciones premium de SMS, llamadas con tarifas premium y estafas de inversión.

Un «embudo típico de víctima de estafa de Sniper Dz» comienza con señuelos de ingeniería social localizados, en los que los estafadores se hacen pasar por proveedores de telecomunicaciones conocidos como Algérie Télécom para promover ofertas falsas y dirigir a los usuarios a dominios alojados en Link in bio, servicios que actúan como una capa intermediaria entre la publicación en las redes sociales y el destino final.

«En lugar de dirigir a las víctimas directamente a un sitio web malicioso, la campaña primero dirige a los usuarios a través de plataformas confiables de agregación de enlaces como Linkbio y Linktree», dijeron los investigadores de Group-IB. «Los atacantes crean páginas de destino señuelo en dominios operados por estos servicios».

El ataque finaliza dirigiendo a las víctimas a una página que obtiene permisos de notificación del navegador solicitando a los usuarios que hagan clic en «Permitir» para continuar. Detrás de escena, el código incrustado en la página web suscribe el navegador web a un sistema de notificaciones push mediante una identificación voluntaria del servidor de aplicaciones (INSÍPIDO) clave pública.

Group-IB dijo que se ha observado la misma clave VAPID en campañas que se hacen pasar por proveedores de telecomunicaciones en Argelia y estafas relacionadas con inversiones dirigidas a usuarios en múltiples regiones.

«Debido a que las claves públicas VAPID se utilizan para identificar el servicio de notificación responsable de entregar mensajes push, su reutilización puede proporcionar información valiosa sobre las relaciones de infraestructura subyacentes», dijo la compañía. «La aparición constante de la misma clave en campañas distintas sugiere que los operadores dependen de un ecosistema compartido de notificaciones push en lugar de una infraestructura independiente».

Además, la página secuestra el botón Atrás inyectando 10 estados históricos falsos, engañando a los usuarios para que visiten sitios que pueden publicar anuncios no solicitados o atrapándolos en una «prisión del botón Atrás» y dentro de contenido controlado por atacantes para inflar las impresiones de anuncios, promover estafas o entregar contenido malicioso.

«La página también implementa una técnica de tabulación que se activa cuando los usuarios interactúan con ciertos enlaces», señaló la empresa de ciberseguridad. Si un enlace abre una nueva pestaña del navegador, un script retrasado redirige silenciosamente la pestaña original a otro destino controlado por los operadores.

«Esto permite que la campaña continúe generando tráfico a través de su infraestructura de redirección y monetización incluso después de que la víctima crea que ha abandonado el sitio. Al combinar el abuso de notificaciones del navegador con la manipulación del historial y las redirecciones con pestañas, los operadores hacen que sea mucho más difícil para los usuarios escapar del ecosistema de estafa».

Una vez que los usuarios se inscriben en la infraestructura de notificación, los ataques avanzan a la fase de monetización, dirigiendo a las víctimas a un sistema de distribución de tráfico (TDS) que determina qué estafa presentar en función de factores como el tipo de dispositivo, la ubicación y el operador de telefonía móvil. Las posibles vías incluyen estafas de llamadas con tarifas superiores, fraude de suscripciones de SMS premium y estafas de inversión.

«Esta campaña demuestra cómo las operaciones de fraude modernas dependen cada vez más del abuso de tecnologías web legítimas en lugar del malware tradicional», dijo Group-IB. «En lugar de infectar dispositivos, los operadores explotan plataformas confiables, funciones de navegador y técnicas de ingeniería social para guiar a las víctimas a través de un embudo de monetización cuidadosamente diseñado».

Una operación dirigida por INTERPOL el mes pasado provocó la interrupción de francotiradoruna plataforma de phishing como servicio (PhaaS) de una década, dijo el jueves Group-IB.

El esfuerzo, cuyo nombre en código es Operación Ramz, tuvo lugar entre octubre de 2025 y febrero de 2026, y en él las autoridades de 13 países de la región de Medio Oriente y África del Norte (MENA) realizaron 201 arrestos.

Entre ellos se encontraba Guedz, el principal desarrollador y administrador de Sniper Dz, un servicio PhaaS que se dice que recopiló más de 45.000 registros de víctimas. La detención fue realizada por la Policía Nacional de Argelia. Con el paso de los años, la plataforma se rebautizó como Joker Dz, Storm Dz y Spam Dz.

Como parte de la Operación Ramz, el sitio web utilizado para ofrecer capacidades PhaaS a otros ciberdelincuentes fue eliminado. Las autoridades también confiscaron hardware que contenía software y scripts de phishing.

«Activo desde al menos 2015, Sniper Dz evolucionó hasta convertirse en una sofisticada plataforma criminal que ofrece kits de phishing listos para usar, infraestructura de alojamiento y soporte operativo a los ciberdelincuentes», dijo la empresa de ciberseguridad con sede en Singapur. dicho.

Desde entonces, se han identificado más de 20.000 dominios únicos asociados con el servicio PhaaS. El conjunto de herramientas se dirigió principalmente a 30 organizaciones globales importantes, incluidas PayPal, Facebook, Instagram, Yahoo, Netflix y Steam, utilizando 80 plantillas de phishing implementadas en cinco idiomas, incluidos árabe, inglés, francés, español y hebreo.

Las campañas de phishing que utilizaban Sniper Dz señalaron a los usuarios de tecnología, redes sociales y plataformas de transmisión en varias geografías al hacerse pasar por marcas populares y entidades gubernamentales utilizando sitios web de imitación convincentes con el objetivo de recopilar credenciales, información personal y otros datos confidenciales.

«Más allá del tradicional robo de credenciales, la plataforma también aprovechó técnicas de ingeniería social que explotaron la popularidad y credibilidad de figuras públicas en todo Medio Oriente y África del Norte», explicó Group-IB. «Los actores de amenazas crearon cuentas falsas en las redes sociales haciéndose pasar por personalidades políticas conocidas y las utilizaron para promover enlaces de phishing disfrazados de ofertas promocionales o acceso gratuito a Internet».

Sniper Dz fue objeto de un análisis exhaustivo realizado por la Unidad 42 de Palo Alto Networks en octubre de 2024, que detalló el uso por parte del actor de amenazas de un canal de Telegram con más de 7.300 suscriptores para compartir videos tutoriales y las opciones que ofrece para alojar las páginas de phishing en su propia infraestructura detrás de un servidor proxy.

Lo que hizo que Sniper Dz se destacara del abarrotado mercado PhaaS es que ofrecía toda su infraestructura de forma gratuita, lo que facilitaba a los aspirantes a ciberdelincuentes llevar a cabo campañas de phishing a escala. En cambio, las vías de monetización se basaron en el robo de credenciales y el tráfico de víctimas.

«Las credenciales robadas podrían recolectarse a través de campañas de phishing, mientras que los usuarios que no proporcionaron sus credenciales aún podrían ser redirigidos a fraudes de facturación del operador, suscripciones premium de SMS, esquemas de abuso de notificaciones del navegador y otras campañas fraudulentas impulsadas por afiliados», Group-IB dicho.