Nach Angaben von Group-IB beginnt der typische Betrugsablauf von Sniper Dz mit lokal angepassten Social-Engineering-Ködern. Die Täter geben sich dabei etwa als bekannte Telekommunikationsanbieter wie Algérie Télécom aus und bewerben angebliche Sonderaktionen. Ziel ist es, Nutzer auf Domains zu lenken, die über Link-in-Bio-Dienste gehostet werden und als Zwischenschicht zwischen dem Social-Media-Beitrag und dem eigentlichen Ziel dienen.
Die Forscher betonen, dass die Opfer nicht direkt auf eine bösartige Website geschickt werden. Stattdessen läuft der Verkehr zunächst über bekannte Link-Aggregationsplattformen wie Linkbio und Linktree. Dort richten die Angreifer laut Group-IB Tarn-Landingpages auf von diesen Diensten betriebenen Domains ein.
Am Ende der Kette landen Nutzer auf einer Seite, die Berechtigungen für Browser-Benachrichtigungen abfragt und sie dazu auffordert, auf „Zulassen“ zu klicken, um fortzufahren. Im Hintergrund meldet eingebetteter Code den Browser mithilfe eines öffentlichen Schlüssels zur freiwilligen Identifizierung von Anwendungsservern, eines sogenannten VAPID-Schlüssels, bei einem Push-Benachrichtigungssystem an.
Group-IB zufolge tauchte derselbe VAPID-Schlüssel in Kampagnen auf, die sich als Telekommunikationsanbieter in Algerien tarnten, ebenso wie in anlagebezogenen Betrugsfällen gegen Nutzer in mehreren Regionen. Da solche öffentlichen VAPID-Schlüssel den Benachrichtigungsdienst identifizieren, der die Push-Nachrichten ausliefert, kann ihre Wiederverwendung laut dem Unternehmen wertvolle Hinweise auf Zusammenhänge in der zugrunde liegenden Infrastruktur liefern. Das wiederholte Auftreten desselben Schlüssels über ansonsten unterschiedliche Kampagnen hinweg spreche dafür, dass die Betreiber ein gemeinsames Push-Benachrichtigungs-Ökosystem statt voneinander getrennter Infrastrukturen nutzen.
Zusätzlich missbraucht die Seite die Zurück-Funktion des Browsers, indem sie zehn gefälschte Verlaufszustände einschleust. Dadurch können Nutzer auf Seiten mit unerwünschter Werbung gelenkt oder in einer Art „Gefängnis der Zurück-Taste“ festgehalten werden, also innerhalb von Inhalten unter Kontrolle der Angreifer bleiben, um Werbeeinblendungen aufzublähen, weitere Betrugsmaschen zu fördern oder schädliche Inhalte auszuliefern.
Hinzu kommt laut Group-IB eine Tab-under-Technik. Wenn Nutzer mit bestimmten Links interagieren und sich ein neuer Browser-Tab öffnet, leitet ein verzögert ausgeführtes Skript den ursprünglichen Tab unbemerkt auf ein weiteres Ziel um, das von den Betreibern kontrolliert wird. So kann die Kampagne den Datenverkehr weiter durch ihre Umleitungs- und Monetarisierungsinfrastruktur schleusen, selbst wenn das Opfer glaubt, die Seite bereits verlassen zu haben.
Sobald Nutzer in die Benachrichtigungsinfrastruktur eingebunden sind, folgt die Monetarisierungsphase. Die Angriffe leiten sie dazu an ein Traffic-Distribution-System weiter, das abhängig von Gerätetyp, Standort und Mobilfunkanbieter entscheidet, welche Betrugsmasche angezeigt wird. Group-IB nennt dabei kostenpflichtige Anrufbetrügereien, betrügerische Premium-SMS-Abonnements und Anlagebetrug als mögliche Pfade.
Für Group-IB zeigt die Kampagne, dass moderne Betrugsoperationen zunehmend legitime Webtechnologien missbrauchen, statt auf klassische Malware zu setzen. Anstatt Geräte zu infizieren, nutzen die Betreiber vertrauenswürdige Plattformen, Browser-Funktionen und Social Engineering, um Opfer durch einen gezielt aufgebauten Monetarisierungstrichter zu führen.