×

Фишинг-сервис Robin Banks возвращается для новых атак на банковские системы

Фишинг-сервис Robin Banks возвращается для новых атак на банковские системы

Платформа заработала с новой инфраструктурой и получила новые функции.

PhaaS-сервис Robin Banks (Phishing-as-a-Service, фишинг как услуга) снова работает с инфраструктурой российской компании, которая предлагает защиту от DDoS-атак.

PhaaS-платформа была обнаружена в июле 2022 года исследователями из IronNet . Сервис Robin Banks нацелен на многие крупные банки, включая Citibank, Bank of America, Capital One, Lloyds Bank и другие.

После обнаружения Robin Banks экспертами IronNet ИБ-компания Cloudflare занесла в черный список интерфейс и серверную часть платформы, резко остановив продолжающиеся фишинговые кампании киберпреступников.

Новый отчет IronNet предупреждает о возвращении Robin Banks и подчеркивает меры, которые его операторы предприняли, чтобы лучше скрыть и защитить платформу от исследователей. Среди новых функций — обход многофакторной аутентификации (МФА) и перенаправитель, помогающий избежать обнаружения.

Для восстановления своей работы, операторы Robin Banks обратились к российскому поставщику интернет-услуг DDoS-Guard. Среди клиентов компании были сайт группировки ХАМАС, сайт HKLeaks и американский форум Kiwi Farms.

Чтобы предотвратить доступ посторонних пользователей к фишинговой панели, Robin Banks теперь добавил двухфакторную аутентификацию для учетных записей клиентов. Кроме того, все обсуждения между основными администраторами теперь ведутся через закрытый Telegram-канал.

Одной из новых функций платформы является использование «Adspect», стороннего клоакера, бот-фильтра и трекера рекламы. Операторы сервиса используют этот инструмент для избегания обнаружения путем перенаправления действительных целей на фишинговые сайты, а сканеры и нежелательный трафик – на безопасные веб-сайты.


Функциональная схема Adspect

Разработчики Robin Banks также внедрили обратный прокси-сервер Evilginx2 для AiTM-атак (Adversary-in-The-Middle, противник посередине) и кражи cookie-файлов, содержащих токены аутентификации. Это помогает мошенникам обойти механизм MFA, поскольку они могут использовать захваченные cookie-файлы для входа в учетную запись, как если бы они были ее владельцем.

Robin Banks отдельно продает новую функцию обхода МФА и заявляет, что она работает с фишлетами Google, Yahoo и Outlook.


Реклама новой функции кражи cookie-файлов и обхода МФА

Работа Robin Banks основывается только на легкодоступных инструментах и услугах, поэтому PhaaS-платформы может создать любой желающий пользователь, даже не имея соответствующего опыта.

0-day уязвимость Google заставляет программу поверить в ложные данные

Пользователям нужно срочно обновить Google Chrome, чтобы не потерять контроль над компьютером.

Мошенник вернет криптоинвестору украденные $20 млн.

Американец арестован за серию связанных краж криптовалюты на десятки миллионов долларов.

Стала известна причина масштабного сбоя в работе Microsoft в крупнейших странах мира

Некоторые функции продуктов Microsoft были недоступны в течение 10 часов.