Η πλατφόρμα Phishing-as-a-service (PhaaS) Robin Banks είναι και πάλι λειτουργική, με την υποδομή να φιλοξενείται πλέον από μια ρωσική εταιρεία διαδικτύου που μπορεί να αποκρούσει επιθέσεις denial-of-service (DDoS).
Tον Ιούλιο του 2022, οι ερευνητές της IronNet ανακάλυψαν ότι η πλατφόρμα Robin Banks είναι στην πραγματικότητα μια υπηρεσία phishing που στοχεύει τους πελάτες των Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Santander και Lloyds Bank.
Μόλις το Cloudflare αντιλήφθηκε την πλατφόρμα PhaaS, την έβαλε αμέσως στην black list – σταματώντας όλες τις εκστρατείες phishing που πραγματοποιούσαν οι χάκερ που πλήρωναν συνδρομή για τη χρήση της πλατφόρμας.
Η νέα έκθεση της IronNet εξετάζει την επιστροφή του Robin Banks και τα μέτρα που έχουν λάβει οι δημιουργοί του για να αποτρέψουν τον εντοπισμό του από τους ερευνητές.
Τα νέα χαρακτηριστικά περιλαμβάνουν τη δυνατότητα παράκαμψης του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και έναν redirector που καθιστά δυσκολότερο τον εντοπισμό από τους χρήστες.
Επαναφορά της υπηρεσίας Robin Banks
Για να επαναφέρουν την υπηρεσία τους σε λειτουργία, οι υπεύθυνοι της Robin Bank στράφηκαν στην DDoS-Guard. Η DDoS-Guard είναι ένας ρωσικός πάροχος υπηρεσιών διαδικτύου που έχει εμπλακεί σε διάφορες αμφιλεγόμενες επιχειρηματικές συναλλαγές κατά τη διάρκεια των ετών. Ορισμένοι από τους πελάτες της είναι οι: Hamas, Parler, HKLeaks, και πιο πρόσφατα η Kiwi Farms.
Για να διασφαλιστεί ότι μόνο οι επαληθευμένοι χρήστες μπορούν να έχουν πρόσβαση στον πίνακα πελατών, η υπηρεσία Robin Banks έχει εφαρμόσει έλεγχο ταυτότητας δύο παραγόντων.
Επιπλέον, όλες οι επικοινωνίες μεταξύ των διαχειριστών κλειδιών διεξάγονται πλέον μέσω ενός ασφαλούς καναλιού Telegram.
Νέος redirector
Οι αναλυτές της IronNet ανακάλυψαν ένα νέο χαρακτηριστικό στο Robin Banks που ονομάζεται “Adspect” – πρόκειται για ένα cloaker τρίτου μέρους, ένα bot filter και έναν ad tracker.
Οι πλατφόρμες PhaaS χρησιμοποιούν εργαλεία όπως το Adspect για να εμφανίζουν έγκυρους στόχους σε ιστότοπους phishing, ενώ ταυτόχρονα ανακατευθύνουν τους scanners και άλλο ανεπιθύμητο traffic σε ασφαλείς ιστότοπους, καθιστώντας έτσι πιο δύσκολο τον εντοπισμό τους από τις διωκτικές αρχές ή άλλους.
Επιπλέον, παρόλο που η Adspect δεν εμπορεύεται τον εαυτό της ως βοηθό phishing, πολλά φόρουμ του dark web και κανάλια Telegram που επικεντρώνονται στο phishing προωθούν τις υπηρεσίες της.
Χρήση MFA για παράκαμψη των μέτρων ασφαλείας
Οι προγραμματιστές της Robin Banks έχουν επίσης εφαρμόσει τον reverse proxy «Evilginx2» για επιθέσεις «adversary-in-the-middle» (AiTM) και κλοπή cookies που περιέχουν authentication tokens.
Το Evilginx2 δημιουργεί μια σύνδεση επικοινωνίας μεταξύ του θύματος και του πραγματικού server της υπηρεσίας που χρησιμοποιείται, προωθώντας login requests, credentials και καταγράφοντας το session cookie κατά τη μεταφορά.
Αυτό επιτρέπει στους απειλητικούς παράγοντες phishing να παρακάμψουν το MFA χρησιμοποιώντας cookies που έκλεψαν για να συνδεθούν σαν να ήταν ο ιδιοκτήτης του λογαριασμού.
Η υπηρεσία Robin Banks προσφέρει έναν νέο τρόπο παράκαμψης του MFA και είναι συμβατή με τα phislets των Google, Yahoo και Outlook.
Χρησιμοποιώντας μόνο τα υπάρχοντα εργαλεία και υπηρεσίες, το Robin Banks έδειξε ότι ο καθένας μπορεί να δημιουργήσει μια πλατφόρμα PhaaS.
Η ευρεία διαθεσιμότητα αυτών των πλατφορμών ανοίγει την πόρτα σε λιγότερο τεχνικούς εγκληματίες στον κυβερνοχώρο, επιτρέποντάς τους να εξαπολύουν ισχυρές επιθέσεις phishing και να παρακάμπτουν το MFA για να κλέψουν πολύτιμους λογαριασμούς.
Πηγή πληροφοριών: bleepingcomputer.com
 Robin Banks είναι και πάλι λειτουργική, με την υποδομή να φιλοξενείται πλέον από μια ρωσική...){kind=link}