Robin Banks 网络钓鱼即服务 (PhaaS) 平台通过由俄罗斯互联网公司托管的基础设施重新投入使用,该基础设施提供针对分布式拒绝服务 (DDoS) 攻击的保护。
Robin Banks 在 2022 年 7 月面临运营中断,当时 IronNet 的研究人员将该平台暴露为针对花旗银行、美国银行、第一资本、富国银行、PNC、美国银行、桑坦德银行、劳埃德银行和联邦银行的高度威胁的网络钓鱼服务。
Cloudflare 立即将该平台的前端和后端列入黑名单,突然阻止网络犯罪分子为使用 PhaaS 平台付费而进行的网络钓鱼活动。
IronNet的一份新报告警告 Robin Banks 的回归,并强调了其运营商为更好地隐藏和保护平台免受研究人员攻击而采取的措施。
新功能包括绕过多因素身份验证 (MFA) 和有助于避免检测的重定向器。
罗宾班克斯重装上阵
为了让他们的服务重新上线,Robin Bank 的运营商求助于 DDoS-Guard,这是一家俄罗斯互联网服务提供商,长期以来一直有争议的商业交易,它的一些客户是 Hamas、Parler、HKLeaks,以及最近的Kiwi Farms。
为了防止外人访问网络钓鱼面板,Robin Banks 现在为客户帐户添加了双重身份验证。
此外,核心管理员之间的所有讨论现在都通过私人电报频道完成。
新重定向器
IronNet 的分析师在 Robin Banks 中发现的新功能之一是使用“Adspect”,这是一种第三方伪装器、机器人过滤器和广告跟踪器。
PhaaS 平台使用 Adspect 等工具将有效目标引导至钓鱼网站,同时将扫描仪和不需要的流量重定向至良性网站,从而逃避检测。
IronNet 评论称,Adspect 并未将自己宣传为网络钓鱼辅助工具;但是,它的服务在几个暗网论坛和专门用于网络钓鱼的 Telegram 频道上得到推广。
MFA 绕过
Robin Banks 开发人员还为“中间对手”(AiTM) 攻击和窃取包含身份验证令牌的 cookie实施了“ Evilginx2 ”反向代理。
Evilginx2 是一个反向代理工具,它在受害者和真实服务的服务器之间建立通信,转发登录请求和凭据,并在传输过程中捕获会话 cookie。
这有助于网络钓鱼攻击者绕过 MFA 机制,因为他们可以使用捕获的 cookie 登录帐户,就好像他们是所有者一样。
Robin Banks 单独销售这种新的 MFA 绕过功能,并宣传它可以与 Google、Yahoo 和 Outlook ‘phislets’ 一起使用。
Robin Banks 坚持完全依赖现成的工具和服务这一事实证明,任何有足够决心的人都可以构建 PhaaS 平台。
这些平台的广泛可用性为技术含量较低的网络犯罪分子打开了大门,使他们能够发起强大的网络钓鱼攻击并绕过 MFA 窃取有价值的帐户。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Robin Banks网络钓鱼服务返回窃取银行账户
