پلتفرم فیشینگ به عنوان سرویس (PhaaS) رابین بانکز برای سرقت حساب های بانکی بازگشت.
پلتفرم فیشینگ به عنوان سرویس (PhaaS) رابین بانک با زیرساخت میزبانی شده توسط یک شرکت اینترنتی روسی که محافظت در برابر حملات انکار سرویس توزیع شده (DDoS) را ارائه می دهد، دوباره وارد عمل شده است.
در جولای سال 2022، محققان IronNet این پلتفرم را به عنوان یک سرویس فیشینگ بسیار تهدید کننده با هدف قرار دادن Citibank، Bank of America، Capital One، Wells Fargo، PNC، US Bank، Santander، Lloyds Bank، و Commonwealth Bank معرفی کردند. از آن زمان رابین بنکس در عملیاتی دچار اختلال شده بود
Cloudflare بلافاصله بخشهای ظاهری و باطن پلتفرم را در لیست سیاه قرار داد و به طور ناگهانی کمپینهای فیشینگ مجرمان سایبری را که برای استفاده از پلتفرم PhaaS اشتراک پرداخت میکردند، متوقف کرد.
گزارش جدیدی از IronNet درباره بازگشت Robin Banks هشدار می دهد و اقداماتی را که اپراتورهای آن برای مخفی کردن و محافظت بهتر این پلتفرم در برابر محققان انجام داده اند برجسته می کند.
برای بازگرداندن خدمات آنلاین خود، اپراتورهای بانک رابین به DDoS-Guard، یک ارائه دهنده خدمات اینترنتی روسی با سابقه طولانی در مبادلات تجاری بحث برانگیز، روی آوردند، برخی از مشتریان آن حماس، پارلر، HKLeaks و اخیراً مزارع کیوی هستند.
رابین بانک اکنون احراز هویت دو مرحلهای را برای حسابهای مشتریان اضافه کرده است تا از دسترسی افراد خارجی به پنل فیشینگ جلوگیری کند.
علاوه بر این، تمام گفتگوها بین مدیران اصلی اکنون از طریق یک کانال خصوصی تلگرام انجام می شود.
یکی از ویژگیهای جدیدی که تحلیلگران IronNet در رابین بانکز کشف کردند، استفاده از Adspect، یک پنهانکننده شخص ثالث، فیلتر ربات و ردیاب تبلیغات است.
پلتفرمهای PhaaS از ابزارهایی مانند Adspect برای هدایت اهداف معتبر به سایتهای فیشینگ استفاده میکنند، در حالی که اسکنرها و ترافیک ناخواسته را به وبسایتهای خوشخیم هدایت میکنند، بنابراین از شناسایی فرار میکنند.
توسعه دهندگان Robin Banks همچنین پروکسی معکوس "Evilginx2" را برای حملات "adversary-in-the-middle" (AiTM) و سرقت کوکی های حاوی توکن های احراز هویت پیاده سازی کرده اند.
Evilginx2 یک ابزار معکوس پروکسی است که ارتباط بین قربانی و سرور سرویس واقعی را برقرار می کند، درخواست های ورود و اعتبار را ارسال می کند و کوکی جلسه را در حال انتقال می گیرد.
این به بازیگران فیشینگ کمک میکند تا مکانیسم MFA را دور بزنند زیرا میتوانند از کوکیهای گرفته شده برای ورود به یک حساب کاربری استفاده کنند که گویی مالک آن هستند.
Robin Banks این ویژگی جدید MFA-bypassing را به طور جداگانه می فروشد و تبلیغ می کند که با Google، Yahoo، و Outlook 'phislets' کار می کند.