{"id":450975,"date":"2022-11-07T06:51:25","date_gmt":"2022-11-07T08:51:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-service-de-phishing-de-robin-banks-pour-les-cybercriminels-revient-avec-un-serveur-russe\/"},"modified":"2022-11-07T06:51:26","modified_gmt":"2022-11-07T08:51:26","slug":"le-service-de-phishing-de-robin-banks-pour-les-cybercriminels-revient-avec-un-serveur-russe","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-service-de-phishing-de-robin-banks-pour-les-cybercriminels-revient-avec-un-serveur-russe\/","title":{"rendered":"Le service de phishing de Robin Banks pour les cybercriminels revient avec un serveur russe"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une plate-forme de phishing-as-a-service (PhaaS) connue sous le nom de <strong>Robin Banks<\/strong> a d\u00e9plac\u00e9 son infrastructure d&#8217;attaque vers DDoS-Guard, un fournisseur russe de services d&#8217;h\u00e9bergement \u00e0 toute \u00e9preuve.<\/p>\n<p>Le changement intervient apr\u00e8s que &#8220;Cloudflare a dissoci\u00e9 l&#8217;infrastructure de phishing de Robin Banks de ses services, provoquant une interruption de plusieurs jours des op\u00e9rations&#8221;, selon un <a rel=\"nofollow noopener\" href=\"https:\/\/www.ironnet.com\/blog\/robin-banks-still-might-be-robbing-your-bank-part-2\" target=\"_blank\">rapport<\/a> de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 IronNet.<\/p>\n<p>Robin Banks a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois en juillet 2022 lorsque les capacit\u00e9s de la plateforme \u00e0 proposer des kits de phishing pr\u00eats \u00e0 l&#8217;emploi aux acteurs criminels ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es, permettant de voler les informations financi\u00e8res des clients des banques populaires et d&#8217;autres services en ligne.<\/p>\n<p>Il a \u00e9galement \u00e9t\u00e9 constat\u00e9 qu&#8217;il invitait les utilisateurs \u00e0 saisir des informations d&#8217;identification Google et Microsoft sur des pages de destination malveillantes, sugg\u00e9rant une tentative de la part des auteurs de logiciels malveillants de mon\u00e9tiser l&#8217;acc\u00e8s initial aux r\u00e9seaux d&#8217;entreprise pour des activit\u00e9s de post-exploitation telles que l&#8217;espionnage et les ransomwares.<\/p>\n<p>Ces derniers mois, la d\u00e9cision de Cloudflare de bloquer son infrastructure \u00e0 la suite de la divulgation publique a incit\u00e9 l&#8217;acteur de Robin Banks \u00e0 d\u00e9placer son frontend et son backend vers DDoS-Guard, qui a dans le pass\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/media-center\/press-releases\/ddos-guard-database\/\" target=\"_blank\">h\u00e9berg\u00e9<\/a> le r\u00e9seau social alt-tech <a rel=\"nofollow noopener\" href=\"https:\/\/krebsonsecurity.com\/2021\/01\/ddos-guard-to-forfeit-internet-space-occupied-by-parler\/\" target=\"_blank\">Speaking<\/a> et le notoire <a rel=\"nofollow noopener\" href=\"https:\/\/ddos-guard.net\/en\/info\/blog-detail\/ddos-guard-terminating-services-for-kiwi-farms\" target=\"_blank\">Fermes de kiwis<\/a>.<\/p>\n<p>&#8220;Ce fournisseur d&#8217;h\u00e9bergement est \u00e9galement connu pour ne pas se conformer aux demandes de retrait, ce qui le rend plus attrayant aux yeux des acteurs de la menace&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<p>La principale des nouvelles mises \u00e0 jour introduites est une fonctionnalit\u00e9 de vol de cookies, dans ce qui est consid\u00e9r\u00e9 comme une tentative de servir une client\u00e8le plus large, comme les groupes de menaces persistantes avanc\u00e9es (APT) qui cherchent \u00e0 compromettre des environnements d&#8217;entreprise sp\u00e9cifiques.  Il est offert pour 1 500 $ par mois.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Service d'hame\u00e7onnage de Robin Banks\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667811084_876_Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.jpg\" title=\"Service d'hame\u00e7onnage de Robin Banks\" \/><\/div>\n<p>Ceci est r\u00e9alis\u00e9 en r\u00e9utilisant le code de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/kgretzky\/evilginx2\" target=\"_blank\">Evilginx2<\/a>un cadre d&#8217;attaque open source Adversary-in-the-middle (AiTM) utilis\u00e9 pour voler les informations d&#8217;identification et les cookies de session de Google, Yahoo et Microsoft Outlook, m\u00eame sur les comptes sur lesquels l&#8217;authentification multifacteur (MFA) est activ\u00e9e.<\/p>\n<p>Robin Banks aurait \u00e9galement int\u00e9gr\u00e9 une nouvelle mesure de s\u00e9curit\u00e9 qui oblige ses clients \u00e0 activer l&#8217;authentification \u00e0 deux facteurs (2FA) pour afficher les informations vol\u00e9es via le service, ou, alternativement, recevoir les donn\u00e9es via un bot Telegram.<\/p>\n<p>Une autre caract\u00e9ristique notable est son utilisation de <a rel=\"nofollow noopener\" href=\"https:\/\/docs.adspect.ai\/en\/latest\/overview.html\" target=\"_blank\">Aspect<\/a>un service de d\u00e9tection de fraude publicitaire, pour rediriger les cibles des campagnes de phishing vers des sites Web malveillants, tout en conduisant les scanners et le trafic ind\u00e9sirable vers des sites Web b\u00e9nins \u00e0 passer sous le radar.<\/p>\n<div class=\"ad_two clear\"><img decoding=\"async\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" style=\"float:left\" \/><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les r\u00e9sultats ne sont que les derniers d&#8217;une s\u00e9rie de nouveaux services PhaaS qui ont \u00e9merg\u00e9 dans le paysage des menaces, notamment Frappo, EvilProxy et Caffeine, rendant la cybercriminalit\u00e9 plus accessible aux acteurs malveillants amateurs et exp\u00e9riment\u00e9s.<\/p>\n<p>De plus, les am\u00e9liorations illustrent \u00e9galement le besoin croissant des acteurs de la menace de s&#8217;appuyer sur diff\u00e9rentes m\u00e9thodes telles que l&#8217;AiTM et le bombardement rapide (alias fatigue MFA) &#8211; comme r\u00e9cemment observ\u00e9 dans le cas d&#8217;Uber &#8211; pour contourner les mesures de s\u00e9curit\u00e9 et obtenir un acc\u00e8s initial.<\/p>\n<p>&#8220;L&#8217;infrastructure du kit de phishing de Robin Banks s&#8217;appuie fortement sur du code open source et des outils pr\u00eats \u00e0 l&#8217;emploi, servant d&#8217;exemple parfait de la r\u00e9duction de la barri\u00e8re \u00e0 l&#8217;entr\u00e9e non seulement pour mener des attaques de phishing, mais aussi pour cr\u00e9er un PhaaS plate-forme que d&#8217;autres peuvent utiliser \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/robin-banks-phishing-service-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une plate-forme de phishing-as-a-service (PhaaS) connue sous le nom de Robin Banks a d\u00e9plac\u00e9 son infrastructure d&#8217;attaque vers DDoS-Guard, un fournisseur russe de services d&#8217;h\u00e9bergement \u00e0 toute \u00e9preuve. Le changement intervient apr\u00e8s que &#8220;Cloudflare a dissoci\u00e9 l&#8217;infrastructure de phishing de Robin Banks de ses services, provoquant une interruption de plusieurs jours des op\u00e9rations&#8221;, selon un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":450976,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,43664,4168,4158,4165,4161,37976,4157,4159,4171,4170,65,4167,4160,4163,4162,8153,185,3145,4792,236,4172,4169,32855,2314,4166,4164],"class_list":["post-450975","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-banks","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercriminels","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-phishing","tag-pour","tag-revient","tag-robin","tag-russe","tag-securite-informatique","tag-securite-internet","tag-serveur","tag-service","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/450975","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=450975"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/450975\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/450976"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=450975"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=450975"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=450975"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}