olarak bilinen bir hizmet olarak kimlik avı (PhaaS) platformudur. Robin Banks saldırı altyapısını bir Rus kurşun geçirmez barındırma hizmetleri sağlayıcısı olan DDoS-Guard’a taşıdı.
Geçiş, “Cloudflare, Robin Banks kimlik avı altyapısını hizmetlerinden ayırdı ve operasyonlarda birkaç gün boyunca kesintiye neden oldu” dedi. bildiri siber güvenlik şirketi IronNet’ten.
Robin Banks, ilk olarak Temmuz 2022’de, platformun suçlu aktörlere hazır kimlik avı kitleri sunma yeteneklerinin ortaya çıkmasıyla belgelendi ve popüler bankaların ve diğer çevrimiçi hizmetlerin müşterilerinin finansal bilgilerinin çalınmasını mümkün kıldı.
Ayrıca, kötü amaçlı yazılım yazarlarının bir kısmının casusluk ve fidye yazılımı gibi sömürü sonrası faaliyetler için şirket ağlarına ilk erişimden para kazanma girişiminde bulunduğunu öne sürerek, kullanıcılardan Google ve Microsoft kimlik bilgilerini sahte açılış sayfalarına girmelerini istediği tespit edildi.
Son aylarda, Cloudflare’ın kamuya açıklamanın ardından altyapısını bloke etme kararı, Robin Banks aktörünün ön ve arka ucunu geçmişte olduğu gibi DDoS-Guard’a taşımasına neden oldu. barındırılan alt teknoloji sosyal ağ Parler ve kötü şöhretli Kivi Çiftlikleri.
Araştırmacılar, “Bu barındırma sağlayıcısı, yayından kaldırma taleplerine uymamakla da ünlüdür, bu nedenle tehdit aktörlerinin gözünde daha çekici hale gelir.”
Sunulan yeni güncellemelerin başında, belirli kurumsal ortamları tehlikeye atmak isteyen gelişmiş kalıcı tehdit (APT) grupları gibi daha geniş bir müşteriye hizmet etme girişimi olarak görülen çerez çalma işlevi yer alıyor. Aylık 1.500 dolara teklif ediliyor.
Bu, kodun yeniden kullanılmasıyla elde edilir. kötülükx2çok faktörlü kimlik doğrulama (MFA) etkinleştirilmiş hesaplarda bile Google, Yahoo ve Microsoft Outlook’tan kimlik bilgilerini ve oturum tanımlama bilgilerini çalmak için kullanılan açık kaynaklı bir ortadaki düşman (AiTM) saldırı çerçevesi.
Robin Banks’in ayrıca, çalınan bilgileri hizmet aracılığıyla görüntülemek veya alternatif olarak verileri bir Telegram botu aracılığıyla almak için müşterilerinin iki faktörlü kimlik doğrulamayı (2FA) açmasını gerektiren yeni bir güvenlik önlemi eklediği söyleniyor.
Bir diğer dikkat çekici özelliği ise kullanımıdır. Muhataptarayıcıları ve istenmeyen trafiği iyi niyetli web sitelerine yönlendirirken, kimlik avı kampanyalarının hedeflerini sahte web sitelerine yönlendirmek için bir reklam sahtekarlığı algılama hizmeti.
Bulgular, Frappo, EvilProxy ve Caffeine dahil olmak üzere tehdit ortamında ortaya çıkan ve siber suçları hem amatör hem de deneyimli kötü aktörler için daha erişilebilir hale getiren bir dizi yeni PhaaS hizmetinin yalnızca sonuncusu.
Dahası, iyileştirmeler, tehdit aktörlerinin güvenlik önlemlerini atlatmak ve ilk erişim elde etmek için AiTM ve hızlı bombalama (diğer bir deyişle MFA yorgunluğu) gibi farklı yöntemlere (Uber örneğinde yakın zamanda gözlemlendiği gibi) güvenmeleri için artan ihtiyacı göstermektedir.
“Robin Banks kimlik avı kitinin altyapısı, büyük ölçüde açık kaynak koduna ve kullanıma hazır araçlara dayanıyor ve yalnızca kimlik avı saldırıları yürütmek için değil, aynı zamanda bir PhaaS oluşturmak için giriş engelini düşürmenin en iyi örneği olarak hizmet ediyor. Başkalarının kullanması için bir platform” dedi araştırmacılar.