Die Phishing-as-a-Service-Plattform von Robin Banks entwickelt sich weiter Security Affairs


Die Phishing-as-a-Service (PhaaS)-Plattform Robin Banks hat ihre Infrastruktur auf DDoS-Guard, einen kugelsicheren russischen Hosting-Service, migriert.

Die Phishing-Plattform as a Service (PhaaS) von Robin Banks wurde ursprünglich vom Anbieter Cloudflare gehostet, aber das Unternehmen entbündelte die Robin Banks-Phishing-Infrastruktur im Juli von seinen Diensten, nachdem es darauf aufmerksam gemacht worden war.

Der Umzug verursachte eine mehrtägige Unterbrechung des PhaaS-Betriebs, und dann nahmen die Plattformadministratoren mehrere Änderungen vor, darunter die Migration der Infrastruktur zum berüchtigten kugelsicheren russischen Hosting-Anbieter.

Laut dem renommierten Ermittler Brian Krebs hostete DDOS-GUARD auch Inhalte für die verschwörungstheoretischen Bewegungen QAnon und 8chan sowie die offizielle Website der Terrorgruppe Hamas. Der Anbieter kommt niemals Deaktivierungsanträgen von Strafverfolgungsbehörden nach.

Experten der Cybersicherheitsfirma IronNet wiesen darauf hin, dass die Betreiber hinter den Robin Banks auch eine neue Cookie-Stealing-Funktion hinzugefügt haben, die von ihren Kunden zusätzlich zum Phishing-Kit erworben werden kann. Diese Funktion ermöglicht es Betrügern, diese Funktion anzuweisen, um die Multi-Factor Authentication (MFA) in ihren Kampagnen zu umgehen.

Diese Funktion wird für 1.500 $ pro Monat angeboten, während der vollständige Zugang zur Robin Bank für 200 $ pro Monat angeboten wird.

Robin Banken

The Robin Banks wurde erstmals im Juli 2022 analysiert, es stützt sich stark auf Open-Source-Code und handelsübliche Tools.

„Neben der Migration seiner Infrastruktur zu DDOS-GUARD begann Robin Banks auch, die Sicherheit auf der Plattform zu verschärfen, höchstwahrscheinlich aus Angst, dass sich jemand in seine Verwaltungsoberfläche hacken könnte. Dazu gehörte die Implementierung und Anforderung einer Zwei-Faktor-Authentifizierung (2FA). Kit-Kunden, um Phishing-Informationen über die Haupt-GUI anzuzeigen, heißt es in einem Bericht der Sicherheitsfirma IronNet.“ Wenn sie 2FA jedoch nicht implementieren möchten, könnten Kunden stattdessen die Phishing-Informationen an einen Telegram-Bot senden, anstatt Greifen Sie über die Benutzeroberfläche von Robin Banks darauf zu.”

Experten haben drei gängige Phishlets beobachtet, die in der Distribution enthalten sind: Google, Yahoo und Outlook. Phishlets sind Konfigurationsdateien, um eine legitime Website in eine Phishing-Site zu proxieren, und werden im Wesentlichen vom evilginx2-Phishing-Kit verwendet.

Kunden von Robin Banks können gestohlene Daten über den Dienst anzeigen, indem sie die Zwei-Faktor-Authentifizierung (2FA) oder einen Telegram-Bot aktivieren.

„Zusätzlich zur Migration seiner Infrastruktur zu DDOS-GUARD begann Robin Banks auch, die Sicherheit auf der Plattform zu verschärfen, höchstwahrscheinlich aus Angst, dass sich jemand in seine Admin-Oberfläche hacken könnte. Dazu gehörte die Implementierung und die Anforderung einer Zwei-Faktor-Authentifizierung (2FA ), damit Kit-Kunden Phishing-Informationen über die Haupt-GUI anzeigen können, fährt der Beitrag fort Robin Banks-GUI.”

Nachdem Forscher den Kern des Phishing-Kits aufgedeckt hatten, stellten Experten fest, dass es Code von einem Drittanbieter-Dienst zur Erkennung von Anzeigenbetrug namens Adspect entlehnt hatte.

Adspect hilft beim Erkennen und Filtern unerwünschter Besucher aus dem Webverkehr mithilfe von Blacklisting-, Fingerabdruck- und maschinellen Lerntechniken.

Adspect trägt dazu bei sicherzustellen, dass Ziele von Phishing-Kampagnen auf bösartige Websites umgeleitet werden, während Scanner und unerwünschter Datenverkehr auf harmlose Websites umgeleitet werden, um eine Erkennung zu vermeiden.

„Die starke Abhängigkeit von Robin Banks von Open-Source-Code und handelsüblichen Tools zeigt, wie niedrig die Eintrittsbarriere nicht nur für die Durchführung von Phishing-Angriffen ist, sondern auch dafür, ein Anbieter von Diensten zu werden und eine PhaaS-Plattform für andere zu erstellen Es bedarf keiner großen Raffinesse, um ein solches Kit zu erstellen und Hunderte bis Tausende von Dollar für andere zu verlangen, um es zu verwenden. Der Beitrag kommt zu dem Schluss: „Daher stellt die zunehmende Verwendung verschiedener Web-Tools zum Hosten von cyberkriminellen Plattformen eine Herausforderung dar da Cyberkriminalität zugänglicher und eine Option mit geringem Aufwand wird, um schnell Profit zu machen.“

Kürzlich haben andere neue PhaaS-Dienste Schlagzeilen gemacht, darunter Caffeine, EvilProxy und Frappo, die immer mehr böswillige Akteure in die Bedrohungslandschaft locken.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacking, Robin Banks)





Blog In 2021 joker0o xyz

Add Comment