.
Robin Banks, a plataforma de phishing como serviço (PHaaS) que foi lançada na Cloudflare por atividades maliciosas, está de volta com um provedor de serviços russo e novas ferramentas para facilitar o desvio das medidas de segurança.
Unidade de Pesquisa de Ameaças da IronNet primeiro escreveu sobre Robin Banks em julho, detalhando um grupo de ameaças que foi Vendo kits de phishing para cibercriminosos que usariam essas ferramentas para roubar credenciais e dados financeiros de pessoas nos EUA, Reino Unido, Canadá e Austrália.
Além disso, os invasores trabalharam para roubar credenciais do Google e da Microsoft, indicando que Robin Banks também estava interessado em estabelecer acesso inicial que poderia ser usado por outros cibercriminosos para ataques avançados, como ransomware.
A tripulação está operando desde pelo menos março de 2022, disseram os pesquisadores. Uma grande campanha em julho direcionou informações relacionadas ao Citibank e à Microsoft.
Os operadores por trás do Robin Banks mudaram sua infraestrutura para o DDoS-Guard, um provedor de serviços russo conhecido por hospedar phishing e outras atividades criminosas, escrevem pesquisadores da IronNet em um relatório essa semana.
Além disso, o DDoS-Guard tem hospedado conteúdo de teoria da conspiração de nomes como Qanon e 8chan, bem como o site oficial do grupo terrorista Hamas.
“Esse provedor de hospedagem também é notório por não cumprir as solicitações de remoção, tornando-o mais atraente aos olhos dos agentes de ameaças”, escrevem eles.
Ironia: Criminosos dizem que clientes precisam de 2FA para acessar crimekit
Além de encontrar um novo host, a equipe do Robin Banks está aumentando a segurança de sua própria plataforma, oferecendo novas ferramentas destinadas a contornar a segurança cibernética, como autenticação de dois fatores (2FA) e multifator (MFA).
Para reduzir a possibilidade de alguém invadir a plataforma, o Robin Banks agora exige 2FA para clientes do kit que desejam visualizar informações de phishing por meio da GUI principal do grupo. Se eles não quiserem adotar o 2FA, os compradores do kit podem optar por enviar os dados de phishing para um bot do Telegram.
Os operadores do Robin Banks criaram um canal privado separado no Telegram para impedir que estranhos bisbilhotassem as conversas privadas dos administradores sobre a plataforma. No entanto, uma disputa dentro do grupo levou um administrador irritado a tornar o canal privado público e alvo de spam relacionado a cibercriminosos.
O kit de phishing expandido inclui dois arquivos de código ofuscado que os pesquisadores da IronNet conseguiram ler depois de aplicar o script ofuscador PHP de código aberto. Grande parte da base de código foi usada para o Adspect, um filtro de bot e rastreador de anúncios projetado para detectar e filtrar visitantes indesejados.
Provedores de PHaaS, como Robin Banks, usam Adspect e ferramentas semelhantes para garantir que as vítimas sejam redirecionadas para sites maliciosos e enviar scanners e tráfego indesejado para sites benignos para reduzir a detecção.
Robin Banks também introduziu um recurso de roubo de cookies para contornar as proteções 2FA e MFA usando uma ferramenta que, segundo pesquisadores da IronNet, aparece com base no evilginx2 de código aberto que é usado para lançar ataques do adversário no meio por meio de uma estrutura pré-construída. Os invasores podem usar a estrutura para phishing de credenciais de login e cookies – ou tokens de autenticação – permitindo que eles ignorem 2FA e MFA em plataformas como Google, Yahoo e Microsoft Outlook.
Robin Banks pode estar usando o recurso de roubo de cookies para ampliar sua base de clientes para incluir grupos de ameaças persistentes (APT) mais avançados que procuram comprometer alvos específicos.
Os operadores vendem esse recurso por US$ 1.500 por mês, muito mais do que a taxa mensal de US$ 200 do kit de phishing de acesso total de Robin Banks.
A evolução da plataforma PHaaS destaca a crescente ameaça de cibercriminosos menos qualificados e seu fácil acesso a opções de baixo custo para lançar ataques, escrevem os pesquisadores da IronNet.
O mercado de PHaaS está se tornando cada vez mais saturado, pressionando os desenvolvedores a lançar novas ferramentas e criar maneiras de contornar medidas de segurança, como roubo de cookies e Fadiga de MFA.
.
