Uma operação liderada pela INTERPOL no mês passado desmantelou com sucesso o **Sniper Dz**, uma sofisticada plataforma de phishing-as-a-service (PhaaS) que estava operacional há quase uma década, de acordo com a empresa de cibersegurança **Group-IB**. ### Operação Ramz: Um Desmantelamento Coordenado O esforço coordenado, apelidado de **Operação Ramz**, ocorreu de outubro de 2025 a fevereiro de 2026. Envolveu agências de aplicação da lei de 13 países da região do Oriente Médio e Norte da África (MENA), levando a 201 prisões significativas. Entre os detidos estava **Guedz**, identificado como o principal desenvolvedor e administrador do **Sniper Dz**. Sua prisão foi realizada pela Polícia Nacional da Argélia. A plataforma, que também operava sob pseudônimos como **Joker Dz**, **Storm Dz** e **Spam Dz**, acredita-se ter facilitado a coleta de mais de 45.000 registros de vítimas. Como parte da Operação Ramz, o site usado por cibercriminosos para acessar as capacidades do PhaaS foi desativado, e as autoridades apreenderam hardware contendo software e scripts de phishing críticos. ### Evolução de um Gigante PhaaS A **Group-IB**, uma empresa de cibersegurança sediada em Singapura, observou que o **Sniper Dz** estava ativo desde pelo menos 2015. Ao longo dos anos, evoluiu para uma plataforma criminosa abrangente, oferecendo kits de phishing prontos, infraestrutura de hospedagem e suporte operacional para aspirantes a cibercriminosos. Investigadores identificaram mais de 20.000 domínios únicos associados ao serviço PhaaS. O kit de ferramentas visava principalmente usuários de 30 grandes organizações globais, incluindo **PayPal**, **Facebook**, **Instagram**, **Yahoo**, **Netflix** e **Steam**. Utilizou 80 modelos de phishing implantados em cinco idiomas, incluindo árabe, inglês, francês, espanhol e hebraico. ### Além do Roubo de Credenciais Campanhas de phishing que utilizavam o **Sniper Dz** se passavam por marcas populares e entidades governamentais, empregando sites de imitação convincentes para coletar credenciais, informações pessoais e outros dados sensíveis de usuários de tecnologia, mídias sociais e plataformas de streaming em várias geografias. A **Group-IB** destacou que a plataforma também empregava técnicas avançadas de engenharia social. "Além do roubo tradicional de credenciais, a plataforma também utilizou técnicas de engenharia social que exploraram a popularidade e a credibilidade de figuras públicas no Oriente Médio e Norte da África", explicou a empresa. "Atores de ameaças criaram contas falsas em mídias sociais se passando por personalidades políticas conhecidas e as usaram para promover links de phishing disfarçados de ofertas promocionais ou acesso gratuito à internet." ### O Modelo Gratuito e a Monetização A **Palo Alto Networks Unit 42** realizou uma análise abrangente do **Sniper Dz** em outubro de 2024. Seu relatório detalhou o uso do ator de ameaças de um canal no Telegram com mais de 7.300 assinantes para compartilhar vídeos tutoriais e destacou a oferta única da plataforma de hospedar páginas de phishing em sua própria infraestrutura atrás de um servidor proxy. O que diferenciava o **Sniper Dz** no mercado lotado de PhaaS foi sua decisão de oferecer toda a sua infraestrutura gratuitamente. Isso reduziu significativamente a barreira de entrada para cibercriminosos, permitindo que eles lançassem campanhas de phishing em larga escala com facilidade. A estratégia de monetização da plataforma dependia do roubo de credenciais e do tráfego de vítimas. "Credenciais roubadas poderiam ser coletadas através de campanhas de phishing, enquanto usuários que não forneciam credenciais ainda poderiam ser redirecionados para fraudes de cobrança de operadora, assinaturas de SMS premium, esquemas de abuso de notificações de navegador e outras campanhas de golpes impulsionadas por afiliados", elaborou a **Group-IB**.