La plataforma de phishing como servicio (PhaaS) conocida como Robin Banks ha trasladado su infraestructura de ataque a DDoS-Guard, un proveedor ruso de servicios de alojamiento.
El cambio se produce después de que "Cloudflare desasoció la infraestructura de phishing de Robin Banks de sus servicios, lo que provocó una interrupción de las operaciones de varios dÃas".
Robin Banks se documentó por primera vez en julio de 2022 cuando se revelaron las capacidades de la plataforma para ofrecer kits de phishing listos para usar a los delincuentes, lo que hace posible robar la información financiera de los clientes de bancos populares y otros servicios en lÃnea.
También se descubrió que solicitaba a los usuarios que ingresaran las credenciales de Google y Microsoft en páginas de inicio no autorizadas, lo que sugiere un intento por parte de los autores de malware de monetizar el acceso inicial a las redes corporativas para actividades posteriores a la explotación, como espionaje y secuestro digital (ransomware)
Una de las nuevas y atractivas funcionalidades introducidas en su última versión, es la posibilidad de capturar cookies, en lo que se considera un intento de fidelizar a sus clientes con una oferta de servicio más atractiva, la cual se ofrece por la módica suma de USD$ 1,500 al mes.
Dicho servicio se obtiene mediante la reutilización del código de evilginx2 , un marco de ataque de adversario en el medio (AiTM) de código abierto empleado para robar credenciales y cookies de sesión de Google, Yahoo y Microsoft Outlook, incluso en cuentas que tienen autenticación multifactor activado.
También se dice que Robin Banks incorporó una nueva medida de seguridad que requiere que sus clientes activen la autenticación de dos factores (2FA) para ver la información robada a través del servicio o, alternativamente, recibir los datos a través de un bot de Telegram.
Otra funcionalidad notable es el uso de Adspect , un servicio de detección de fraudes publicitarios, para redirigir los objetivos de las campañas de phishing a sitios web falsos, al tiempo que dirige los escáneres y el tráfico no deseado a sitios web benignos para pasar desapercibidos.
Los hallazgos son solo los últimos de una serie de nuevos servicios PhaaS que han surgido en el panorama de las amenazas, incluidos Frappo, EvilProxy y Caffeine , lo que hace que el ciberdelito sea más accesible tanto para los delincuentes aficionados como para los experimentados.
Commentaires