olarak bilinen bir hizmet olarak kimlik avı (PhaaS) platformudur. Robin Banks saldırı altyapısını bir Rus kurşun geçirmez barındırma hizmetleri sağlayıcısı olan DDoS-Guard’a taşıdı.
Siber güvenlik şirketi IronNet’in bir raporuna göre, geçiş, “Cloudflare, Robin Banks kimlik avı altyapısını hizmetlerinden ayırarak operasyonlarda birkaç gün boyunca kesintiye neden oldu” sonrasında geldi.
Robin Banks, ilk olarak Temmuz 2022’de, platformun suçlu aktörlere hazır kimlik avı kitleri sunma yeteneklerinin ortaya çıkmasıyla belgelendi ve popüler bankaların ve diğer çevrimiçi hizmetlerin müşterilerinin finansal bilgilerinin çalınmasını mümkün kıldı.
Ayrıca, kötü amaçlı yazılım yazarlarının bir kısmının casusluk ve fidye yazılımı gibi sömürü sonrası faaliyetler için şirket ağlarına ilk erişimden para kazanma girişiminde bulunduğunu öne sürerek, kullanıcılardan Google ve Microsoft kimlik bilgilerini sahte açılış sayfalarına girmelerini istediği tespit edildi.
Son aylarda, Cloudflare’nin kamuya açıklamanın ardından altyapısını bloke etme kararı, Robin Banks aktörünün ön ve arka ucunu geçmişte alt teknoloji sosyal ağı Parler ve kötü şöhretli Kiwi’ye ev sahipliği yapan DDoS-Guard’a taşımasına neden oldu. Çiftlikler.
Araştırmacılar, “Bu barındırma sağlayıcısı, yayından kaldırma taleplerine uymamakla da ünlüdür, bu nedenle tehdit aktörlerinin gözünde daha çekici hale gelir.”
Sunulan yeni güncellemelerin başında, belirli kurumsal ortamları tehlikeye atmak isteyen gelişmiş kalıcı tehdit (APT) grupları gibi daha geniş bir müşteriye hizmet etme girişimi olarak görülen çerez çalma işlevi yer alıyor. Aylık 1.500 dolara teklif ediliyor.
Bu, çok faktörlü kimlik doğrulamaya (MFA) sahip hesaplarda bile Google, Yahoo ve Microsoft Outlook’tan kimlik bilgilerini ve oturum çerezlerini çalmak için kullanılan açık kaynaklı bir ortadaki düşman (AiTM) saldırı çerçevesi olan kötümserx2’den gelen kodun yeniden kullanılmasıyla elde edilir. ) etkinleştirilmiş.
Robin Banks’in ayrıca, çalınan bilgileri hizmet aracılığıyla görüntülemek veya alternatif olarak verileri bir Telegram botu aracılığıyla almak için müşterilerinin iki faktörlü kimlik doğrulamayı (2FA) açmasını gerektiren yeni bir güvenlik önlemi eklediği söyleniyor.
Dikkate değer başka bir özellik de, tarayıcıları ve istenmeyen trafiği iyi huylu web sitelerine radar altından kaymaya yönlendirirken, kimlik avı kampanyalarının hedeflerini sahte web sitelerine yönlendirmek için bir reklam sahtekarlığı algılama hizmeti olan Adspect’i kullanmasıdır.
Bulgular, Frappo, EvilProxy ve Caffeine dahil olmak üzere tehdit ortamında ortaya çıkan ve siber suçları hem amatör hem de deneyimli kötü aktörler için daha erişilebilir hale getiren bir dizi yeni PhaaS hizmetinin yalnızca sonuncusu.
Dahası, iyileştirmeler, tehdit aktörlerinin güvenlik önlemlerini atlatmak ve ilk erişim elde etmek için AiTM ve hızlı bombalama (diğer adıyla MFA yorgunluğu) gibi farklı yöntemlere (Uber örneğinde yakın zamanda gözlemlendiği gibi) güvenmeleri için artan ihtiyacı da göstermektedir.
“Robin Banks kimlik avı kitinin altyapısı, büyük ölçüde açık kaynak koduna ve kullanıma hazır araçlara dayanıyor ve yalnızca kimlik avı saldırıları yürütmek için değil, aynı zamanda bir PhaaS oluşturmak için giriş engelini düşürmenin en iyi örneği olarak hizmet ediyor. Başkalarının kullanması için bir platform” dedi araştırmacılar.