Фишинг-сервис Robin Banks возвращается для новых атак на банковские системы

PhaaS-сервис Robin Banks (Phishing-as-a-Service, фишинг как услуга) снова работает с инфраструктурой российской компании, которая предлагает защиту от DDoS-атак.

PhaaS-платформа была обнаружена в июле 2022 года исследователями из IronNet . Сервис Robin Banks нацелен на многие крупные банки, включая Citibank, Bank of America, Capital One, Lloyds Bank и другие.

После обнаружения Robin Banks экспертами IronNet ИБ-компания Cloudflare занесла в черный список интерфейс и серверную часть платформы, резко остановив продолжающиеся фишинговые кампании киберпреступников.

Новый отчет IronNet предупреждает о возвращении Robin Banks и подчеркивает меры, которые его операторы предприняли, чтобы лучше скрыть и защитить платформу от исследователей. Среди новых функций — обход многофакторной аутентификации (МФА) и перенаправитель, помогающий избежать обнаружения.

Для восстановления своей работы, операторы Robin Banks обратились к российскому поставщику интернет-услуг DDoS-Guard. Среди клиентов компании были сайт группировки ХАМАС, сайт HKLeaks и американский форум Kiwi Farms.

Чтобы предотвратить доступ посторонних пользователей к фишинговой панели, Robin Banks теперь добавил двухфакторную аутентификацию для учетных записей клиентов. Кроме того, все обсуждения между основными администраторами теперь ведутся через закрытый Telegram-канал.

Одной из новых функций платформы является использование «Adspect», стороннего клоакера, бот-фильтра и трекера рекламы. Операторы сервиса используют этот инструмент для избегания обнаружения путем перенаправления действительных целей на фишинговые сайты, а сканеры и нежелательный трафик – на безопасные веб-сайты.

Функциональная схема Adspect

Разработчики Robin Banks также внедрили обратный прокси-сервер Evilginx2 для AiTM-атак (Adversary-in-The-Middle, противник посередине) и кражи cookie-файлов, содержащих токены аутентификации. Это помогает мошенникам обойти механизм MFA, поскольку они могут использовать захваченные cookie-файлы для входа в учетную запись, как если бы они были ее владельцем.

Robin Banks отдельно продает новую функцию обхода МФА и заявляет, что она работает с фишлетами Google, Yahoo и Outlook.

Реклама новой функции кражи cookie-файлов и обхода МФА

Работа Robin Banks основывается только на легкодоступных инструментах и услугах, поэтому PhaaS-платформы может создать любой желающий пользователь, даже не имея соответствующего опыта.