No Comments

Robin Banks Phishing-Dienst für Cyberkriminelle kehrt mit russischem Server zurück

 

Eine Phishing-as-a-Service (PhaaS)-Plattform namens Robin Banks hat ihre Angriffsinfrastruktur zu DDoS-Guard, einem russischen Anbieter von kugelsicheren Hosting-Diensten, verlagert.

Der Wechsel erfolgt, nachdem „Cloudflare die Phishing-Infrastruktur von Robin Banks von seinen Diensten getrennt hat, was zu einer mehrtägigen Betriebsunterbrechung führte“, so ein Bericht des Cybersicherheitsunternehmens IronNet.

Robin Banks wurde erstmals im Juli 2022 dokumentiert, als die Fähigkeiten der Plattform enthüllt wurden, kriminellen Akteuren vorgefertigte Phishing-Kits anzubieten, die es ermöglichen, die Finanzinformationen von Kunden beliebter Banken und anderer Online-Dienste zu stehlen.

Es wurde auch festgestellt, dass Benutzer aufgefordert werden, Google- und Microsoft-Anmeldeinformationen auf betrügerischen Zielseiten einzugeben, was auf einen Versuch eines Teils der Malware-Autoren hindeutet, den anfänglichen Zugriff auf Unternehmensnetzwerke für Aktivitäten nach der Ausbeutung wie Spionage und Ransomware zu monetarisieren.

In den letzten Monaten hat die Entscheidung von Cloudflare, seine Infrastruktur nach der Veröffentlichung auf die Sperrliste zu setzen, den Robin Banks-Akteur dazu veranlasst, sein Frontend und Backend zu DDoS-Guard zu verschieben, das in der Vergangenheit das alternative Tech-Social Network Parler und das berüchtigte Kiwi gehostet hat Bauernhöfe.

„Dieser Hosting-Anbieter ist auch dafür berüchtigt, Takedown-Anfragen nicht nachzukommen, was ihn in den Augen von Bedrohungsakteuren attraktiver macht“, stellten die Forscher fest.

Das wichtigste unter den neu eingeführten Updates ist eine Cookie-Stealing-Funktionalität, die als Versuch angesehen wird, eine breitere Klientel wie Advanced Persistent Threat (APT)-Gruppen zu bedienen, die versuchen, bestimmte Unternehmensumgebungen zu kompromittieren. Es wird für 1.500 $ pro Monat angeboten.

Dies wird durch die Wiederverwendung von Code von evilginx2 erreicht, einem Open-Source-Angriffsframework für Adversary-in-the-Middle (AiTM), das verwendet wird, um Anmeldeinformationen und Sitzungscookies von Google, Yahoo und Microsoft Outlook zu stehlen, selbst bei Konten mit Multi-Faktor-Authentifizierung (MFA). ) aktiviert.

Robin Banks soll auch eine neue Sicherheitsmaßnahme integriert haben, die von seinen Kunden verlangt, die Zwei-Faktor-Authentifizierung (2FA) einzuschalten, um die gestohlenen Informationen über den Dienst anzuzeigen, oder alternativ die Daten über einen Telegram-Bot zu erhalten.

Ein weiteres bemerkenswertes Merkmal ist die Verwendung von Adspect, einem Dienst zur Erkennung von Anzeigenbetrug, um Ziele von Phishing-Kampagnen auf betrügerische Websites umzuleiten, während Scanner und unerwünschter Datenverkehr auf harmlose Websites unter das Radar rutschen.

Die Ergebnisse sind nur die neuesten in einer Reihe neuer PhaaS-Dienste, die in der Bedrohungslandschaft aufgetaucht sind, darunter Frappo, EvilProxy und Caffeine, wodurch Cyberkriminalität sowohl für Amateure als auch für erfahrene Angreifer zugänglicher wird.

Darüber hinaus verdeutlichen die Verbesserungen auch die wachsende Notwendigkeit für Bedrohungsakteure, sich auf verschiedene Methoden wie AiTM und Prompt Bombing (auch bekannt als MFA Fatigue) zu verlassen – wie kürzlich im Fall von Uber beobachtet – um Sicherheitsmaßnahmen zu umgehen und ersten Zugriff zu erhalten.

„Die Infrastruktur des Phishing-Kits von Robin Banks stützt sich stark auf Open-Source-Code und Standardtools und dient als Paradebeispiel für die Senkung der Eintrittsbarriere nicht nur für die Durchführung von Phishing-Angriffen, sondern auch für die Erstellung eines PhaaS Plattform, die andere nutzen können”, sagten die Forscher.

 


Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.