Robin Banks Hizmet Olarak Kimlik Avı (PHAAS) platformu, dağıtılmış hizmet reddi (DDOS) saldırılarına karşı koruma sunan bir Rus internet şirketi tarafından barındırılan altyapı ile tekrar harekete geçti.
Robin Banks, Ironnet'teki araştırmacıların platformu Citibank, Bank of America, Capital One, Wells Fargo, PNC, ABD Bankası, Santander, Lloyds Bank ve The Commonwealth Bank'ı hedefleyen son derece tehdit edici bir kimlik avı hizmeti olarak maruz kaldıklarında operasyonel aksamalarla karşılaştı.
Cloudflare, platformun ön ucu ve arka ucunu hemen kara listeye aldı ve PHAAS platformunu kullanmak için bir abonelik ödeyen siber suçlardan devam eden kimlik avı kampanyalarını aniden durdurdu.
Ironnet'in yeni bir raporu, Robin Banks'ın dönüşü konusunda uyarıyor ve operatörlerinin platformu araştırmacılardan daha iyi gizlemek ve korumak için aldıkları önlemleri vurguluyor.
Yeni özellikler arasında çok faktörlü kimlik doğrulama (MFA) ve algılamayı önlemeye yardımcı olan bir yeniden yönetmen atanır.
Hizmetlerini çevrimiçi olarak geri almak için, Robin Bank’ın operatörleri, uzun bir tartışmalı iş alışverişi geçmişine sahip bir Rus İnternet hizmetleri sağlayıcısı olan DDOS-Guard'a döndü, bazı müşterileri Hamas, Parler, HKLeaks ve daha yakın zamanda Kivi Çiftlikleri.
Yabancıların kimlik avı paneline erişmesini önlemek için Robin Banks, şimdi müşteri hesapları için iki faktörlü kimlik doğrulama ekledi.
Ayrıca, çekirdek yöneticiler arasındaki tüm tartışmalar artık özel bir telgraf kanalı aracılığıyla yapılmaktadır.
Ironnet’in analistlerinin Robin Banks'ta keşfettiği yeni özelliklerden biri, üçüncü taraf bir cloaker, bot filtresi ve reklam izleyicisi olan ‘ADSPECT’in kullanımıdır.
PHAAS platformları, tarayıcıları ve istenmeyen trafiği iyi huylu web sitelerine yönlendirirken, geçerli hedefleri kimlik avı sitelerine yönlendirmek için ADSPECT gibi araçları kullanır ve böylece algılamadan kaçınır.
Ironnet, Adspect'in kendisini kimlik avı yardımı olarak reklam vermediğini yorumlar; Bununla birlikte, hizmetleri birkaç karanlık web forumunda ve kimlik avına adanmış telgraf kanallarında tanıtılmaktadır.
Robin Banks geliştiricileri ayrıca 'ortada düşman' (AITM) saldırıları ve kimlik doğrulama jetonları içeren çerezleri çalma için 'Evilginx2' ters vekilini uyguladılar.
Evilginx2, kurban ve gerçek hizmet sunucusu arasında iletişim kuran, giriş isteklerini ve kimlik bilgilerini ileten ve oturum çerezini transit olarak yakalayan ters proksi bir araçtır.
Bu, kimlik avı aktörlerinin MFA mekanizmasını atlamasına yardımcı olur, çünkü yakalanan çerezleri sanki sahibiymiş gibi bir hesaba kaydetmek için kullanabilirler.
Robin Banks bu yeni MFA-Bypassing özelliğini ayrı olarak satıyor ve Google, Yahoo ve Outlook 'Phislets' ile çalıştığını tanıtıyor.
Robin Banks'ın sadece kolayca mevcut araçlara ve hizmetlere güvenerek devam etmesi, Phaas platformlarının yeterince belirlenen herkes tarafından oluşturulabileceğini kanıtlıyor.
Bu platformların geniş mevcudiyeti, daha az teknik siber suçlulara kapıyı açarak güçlü kimlik avı saldırıları başlatmalarına ve değerli hesapları çalmak için MFA'yı atlamalarına izin veriyor.
Caffeine Service, herkesin Microsoft 365 kimlik avı saldırılarını başlatmasına izin verir
Bilgisayar korsanları Github hesaplarını sahte Circleci bildirimlerini kullanarak çalıyor
Emotet Botnet, 4 aylık moladan sonra kötü amaçlı yazılımları tekrar patlatmaya başlar
Twitter 8 $ ücret getirirken, kimlik avı e -postaları doğrulanmış hesapları hedeflemek
Yeni Kızıl Kingsnake Gang, BEC saldırılarında hukuk firmalarını taklit ediyor
Kaynak: Bleeping Computer