Robin Banks è una piattaforma PhaaS (Phishing-as-a-Service) che viene offerta in abbonamento ad attori malevoli che vogliono accedere alle informazioni finanziarie dei clienti di note banche. L’infrastruttura aveva subito un’interruzione operativa nel luglio 2022. Ora, Robin Banks è tornato in azione con nuove funzionalità.
Il tipo di servizio consente di ottenere l’accesso iniziale ai sistemi delle vittime. I cybercriminali possono acquistare il phishing kit in abbonamento (fino a 300 dollari/mese) e configurarlo in base alle loro esigenze, scegliendo il sito della banca da imitare. La catena di infezione prevede l’invio di email o SMS con il link al falso sito, in cui l’ignaro utente inserirà le credenziali di login all’account.
La prima campagna di phishing era stata bloccata a luglio 2022 quando i ricercatori di IronNet hanno esposto la piattaforma come un servizio di phishing altamente minaccioso rivolto a Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Santander, Lloyds Bank e Commonwealth Bank.
Cloudflare aveva immediatamente inserito nella blacklist il frontend e il backend della piattaforma, interrompendo bruscamente le campagne di phishing in corso da parte dei criminali informatici che pagavano un abbonamento per l’utilizzo della piattaforma PhaaS.
Gli esperti di IronNet ora hanno avvisato del ritorno di Robin Banks ed evidenziato le misure adottate dai suoi operatori per nascondere e proteggere meglio la piattaforma dai ricercatori. Per ripristinare il servizio online, gli operatori di Robin Bank hanno modificato l’infrastruttura e si sono rivolti a DDoS-Guard, un provider di servizi Internet russo con una lunga storia di scambi commerciali controversi.
Tra le nuove funzionalità rilevate ci sono il bypass dell’autenticazione a più fattori (MFA) e un redirector che aiuta a evitare il rilevamento. Per impedire a estranei di accedere al pannello di phishing, Robin Banks ha ora aggiunto l’autenticazione a due fattori per gli account dei clienti. Inoltre, tutte le discussioni tra gli amministratori principali vengono ora svolte tramite un canale Telegram privato.
Una delle nuove funzionalità che gli analisti di IronNet hanno rilevato in Robin Banks è l’uso di “Adspect”, un cloaker di terze parti, un filtro bot e un tracker di annunci (le piattaforme PhaaS utilizzano strumenti come Adspect per indirizzare obiettivi validi a siti di phishing reindirizzando gli scanner e il traffico indesiderato a siti Web benigni, eludendo così il rilevamento).
IronNet sottolinea che Adspect non si pubblicizza come un aiuto per il phishing, ciononostante i suoi servizi sono promossi su diversi forum del dark web e sui canali Telegram dedicati al phishing.
Gli sviluppatori di Robin Banks hanno anche implementato il proxy inverso “Evilginx2” per attacchi “adversary-in-the-middle” (AiTM) consentendo di aggirare l’autenticazione a due fattoti rubando i cookie di sessione.
Evilginx2 aiuta gli attori del phishing a bypassare il meccanismo MFA perché possono utilizzare i cookie acquisiti per accedere a un account come se fossero i legittimi proprietari.
“Il fatto che Robin Banks persista facendo affidamento esclusivamente su strumenti e servizi prontamente disponibili dimostra che le piattaforme PhaaS possono essere costruite da chiunque sia sufficientemente determinato. L’ampia disponibilità di queste piattaforme apre la porta a criminali informatici meno tecnici, consentendo loro di lanciare potenti attacchi di phishing e aggirare l’AMF per rubare account preziosi”, conclude BleepingComputer
https://www.punto-informatico.it/robin-banks-nuova-versione-piattaforma-phaas/