Operação Ramz interrompe ecossistema ativo desde 2015 com mais de 20 mil domínios, 80 modelos multilíngues e mais de 45 mil registros de vítimas associados ao serviço.
| Componente | Plataforma PhaaS Sniper Dz (também operada como Joker Dz, Storm Dz e Spam Dz), com site de distribuição, kits prontos, hospedagem e suporte operacional para campanhas de phishing |
| Vetor | Sites falsos que imitam marcas globais e entidades governamentais, distribuição por links em perfis fraudulentos de figuras públicas e redirecionamento pós-clique para captura de credenciais ou fraudes secundárias |
| Impacto | Mais de 45 mil registros de vítimas associados ao serviço, mais de 20 mil domínios únicos ligados à operação e coleta de credenciais, dados pessoais e encaminhamento para cobrança abusiva via operadora, SMS premium e notificações de navegador |
| Prioridade | Revisar autenticação e detecção de login em marcas frequentemente imitadas, caçar domínios e páginas clone multilíngues, e bloquear redirecionamentos para esquemas de cobrança e notificações abusivas |
| Artefatos | Cerca de 80 modelos de phishing em árabe, inglês, francês, espanhol e hebraico; hardware apreendido com software e scripts de phishing; infraestrutura web usada para oferecer capacidades PhaaS retirada do ar |
| Mitigação | Operação Ramz, conduzida entre outubro de 2025 e fevereiro de 2026, com 201 detenções em 13 países do Oriente Médio e Norte da África, incluindo o desenvolvedor e administrador principal identificado como Guedz, detido pela polícia nacional argelina |
Uma operação internacional liderada pela INTERPOL interrompeu o funcionamento da plataforma Sniper Dz, um serviço de phishing como serviço ativo há pelo menos uma década. A ação, batizada de Operação Ramz, ocorreu entre outubro de 2025 e fevereiro de 2026 e resultou em 201 detenções coordenadas por autoridades de 13 países da região do Oriente Médio e Norte da África. Entre os detidos está o principal desenvolvedor e administrador do ecossistema, conhecido como Guedz, preso pela polícia nacional argelina. Paralelamente, o site usado para disponibilizar capacidades PhaaS a outros criminosos foi retirado do ar, e equipamentos contendo software e scripts de phishing foram apreendidos.
Ao longo de sua existência, a operação passou por rebranding recorrente, aparecendo também como Joker Dz, Storm Dz e Spam Dz. O serviço evoluiu de um ponto de distribuição de kits para uma plataforma criminal mais completa, oferecendo modelos prontos, infraestrutura de hospedagem e suporte operacional a grupos que buscavam escalar campanhas sem montar toda a cadeia por conta própria. Estima-se que mais de 20 mil domínios únicos tenham sido associados ao ecossistema, enquanto o conjunto de dados ligado à plataforma ultrapassa 45 mil registros de vítimas. Esse volume coloca o caso entre as desmontagens de PhaaS mais significativas registradas recentemente na região MENA, com implicações diretas para equipes de prevenção a fraude, resposta a incidentes e inteligência de ameaças que monitoram cadeias de credential harvesting e monetização secundária de tráfego.
A proposta central do Sniper Dz era reduzir a barreira de entrada para campanhas de phishing em larga escala. Em vez de exigir que cada operador montasse páginas falsas, registrasse domínios e mantivesse infraestrutura por conta própria, a plataforma entregava um pacote operacional completo: modelos de páginas, hospedagem e orientação para execução. O diferencial comercial dentro do mercado PhaaS era a disponibilização gratuita dessa infraestrutura; a receita vinha do abuso do tráfego capturado. Quando uma vítima preenchia formulários em sites clone, credenciais e informações pessoais eram coletadas. Quando não havia submissão útil, o fluxo podia ser desviado para esquemas de cobrança via operadora móvel, assinaturas premium por SMS, abuso de permissões de notificação no navegador e campanhas afiliadas de golpe, transformando visitantes em fonte alternativa de monetização.
As campanhas associadas ao ecossistema combinavam imitação visual de marcas conhecidas com engenharia social contextualizada. Foram identificados cerca de 80 modelos de phishing implantados em cinco idiomas — árabe, inglês, francês, espanhol e hebraico — direcionados a aproximadamente 30 organizações globais relevantes em pagamentos, redes sociais e streaming. Além de páginas que copiavam interfaces de serviços populares, operadores criaram contas falsas em redes sociais se passando por personalidades políticas conhecidas na região MENA. Esses perfis veiculavam links disfarçados de promoções, benefícios ou ofertas de acesso gratuito à internet, aumentando a taxa de cliques entre públicos que associavam credibilidade à figura pública impersonada. Do ponto de vista defensivo, a cadeia completa abrange registro e rotação de domínios, entrega de páginas clone, captura de credenciais, exfiltração para backend do serviço e, quando aplicável, redirecionamento para fraudes de cobrança ou notificações persistentes no navegador da vítima.
A superfície exposta combina usuários finais de plataformas digitais de alto volume, marcas globalmente reconhecidas e cidadãos expostos a conteúdo político regional em redes sociais. As campanhas visavam serviços de pagamento, mídias sociais, e-mail, entretenimento por streaming e perfis associados a entidades governamentais, explorando a confiança depositada em logotipos, fluxos de login e comunicações aparentemente oficiais. A abrangência multilíngue amplia o risco para equipes de segurança que monitoram apenas um idioma ou um conjunto restrito de TLDs, já que a mesma operação criminal podia alternar entre públicos distintos sem alterar a infraestrutura central.
Organizações cujas marcas foram frequentemente imitadas incluem PayPal, Facebook, Instagram, Yahoo, Netflix e Steam, além de alvos institucionais representados nos modelos disponibilizados. Usuários que interagiram com links promovidos por perfis falsos de figuras públicas também compõem a base de vítimas potenciais, especialmente quando o golpe se apresentava como benefício social ou promoção legítima. Para times de fraud prevention, o impacto não se limita ao roubo imediato de senha: credenciais reutilizadas, tokens de sessão capturados indiretamente e números de telefone submetidos a fluxos de cobrança abusiva ampliam a janela de abuso mesmo após o desmantelamento da plataforma central.
- Mais de 20 mil domínios únicos associados ao ecossistema PhaaS, indicando rotação extensa de infraestrutura
- Cerca de 80 modelos de phishing em cinco idiomas voltados a marcas globais e entidades governamentais
- Mais de 45 mil registros de vítimas ligados ao serviço, abrangendo credenciais e dados pessoais submetidos em páginas clone
- Usuários em múltiplas geografias expostos a perfis falsos de personalidades políticas usados como vetor de distribuição
Equipes de detecção devem priorizar sinais que distinguem campanhas PhaaS de phishing isolado: reutilização de blocos HTML semelhantes entre domínios distintos, padrões de hospedagem compartilhada, certificados recém-emitidos em nomes que imitam marcas conhecidas e formulários que enviam credenciais para backends não pertencentes ao provedor legítimo. Como o ecossistema operava com dezenas de modelos traduzidos, a caça por uma única assinatura visual é insuficiente; é mais produtivo correlacionar estrutura de página, nomes de campos, endpoints de coleta e cadeias de redirecionamento pós-falha de login.
Em ambientes corporativos, proxies web, gateways de e-mail e plataformas de proteção de marca devem buscar domínios recém-registrados com typosquatting, homógrafos e subdomínios que simulam fluxos de autenticação de serviços de pagamento, redes sociais e streaming. Em dispositivos móveis, logs de operadora e alertas de assinatura premium não solicitada ajudam a identificar vítimas desviadas para cobrança abusiva quando nenhuma credencial foi entregue. No navegador, permissões de notificação concedidas após visitas a páginas suspeitas e redirecionamentos encadeados para domínios de afiliados são indicadores compatíveis com a monetização secundária descrita no ecossistema. Perfis de rede social que promovem links encurtados ou domínios recém-criados em nome de figuras públicas devem ser tratados como possível vetor de distribuição, especialmente quando a mensagem promete benefícios gratuitos ou acesso promocional.
- Correlacionar domínios novos com templates HTML semelhantes e endpoints de coleta repetidos entre campanhas distintas
- Monitorar tentativas de login em contas corporativas após cliques em páginas que imitam PayPal, Yahoo ou redes sociais populares
- Investigar assinaturas SMS premium, cobranças inesperadas em fatura móvel e permissões de notificação persistentes após visitas a páginas suspeitas
- Rastrear perfis sociais recém-criados que associam personalidades políticas a links promocionais ou ofertas de internet gratuita
A desmontagem da infraestrutura central reduz a capacidade imediata de novos operadores obterem kits e hospedagem prontos, mas não elimina kits já distribuídos, domínios ainda ativos ou credenciais previamente exfiltradas. A resposta defensiva deve começar pela revisão de contas potencialmente expostas em marcas frequentemente clonadas, com reset de senha, invalidação de sessões ativas e verificação de autenticação multifator onde disponível. Equipes de brand protection devem ampliar monitoramento de registros de domínio, remoções em provedores de hospedagem e bloqueios em navegadores corporativos para variações dos nomes Joker Dz, Storm Dz, Spam Dz e Sniper Dz, além de indicadores estruturais comuns aos modelos multilíngues identificados.
Para usuários finais e help desks, reforçar que links promovidos por perfis de figuras públicas não constituem canal oficial de benefícios ou promoções de conectividade reduz a eficácia do vetor social observado na região MENA. Operadoras e equipes de telecomunicações devem revisar fluxos de ativação de serviços premium e bloquear parceiros afiliados associados a redirecionamentos abusivos originados de páginas de phishing. Organizações cujas marcas foram imitadas podem complementar a defesa com páginas oficiais de verificação de comunicações, hardening de políticas anti-phishing no e-mail e integração de feeds de domínios maliciosos em proxies e soluções de secure web gateway. Por fim, a coordenação internacional evidenciada pela Operação Ramz reforça que inteligência compartilhada sobre PhaaS, apreensão de hardware e detenções de operadores-chave permanecem peças centrais para conter ecossistemas que combinam distribuição gratuita de infraestrutura com monetização agressiva do tráfego de vítimas.
- Forçar troca de credenciais e revogação de sessões para contas expostas a páginas clone de pagamento, e-mail, redes sociais ou streaming
- Expandir bloqueio e takedown de domínios com padrões de typosquatting e templates associados aos ramos Joker Dz, Storm Dz e Spam Dz
- Auditar permissões de notificação no navegador e cancelar assinaturas premium ou cobranças móveis não autorizadas em endpoints de usuário
- Integrar alertas de registro de domínio e detecção de impersonação de marca em programas contínuos de proteção digital
0 Comentários