March 31, 2023


Layanan phishing Robin Banks kembali mencuri rekening perbankan

Platform phishing-as-a-service (PhaaS) Robin Banks kembali beraksi dengan infrastruktur yang dihosting oleh perusahaan internet Rusia yang menawarkan perlindungan terhadap serangan penolakan layanan (DDoS) terdistribusi.

Robin Banks menghadapi gangguan operasional pada Juli 2022, ketika para peneliti di IronNet membuka platform sebagai layanan phishing yang sangat mengancam yang menargetkan Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Santander, Lloyds Bank, dan Commonwealth Bank.

Cloudflare segera membuat daftar hitam frontend dan backend platform, tiba-tiba menghentikan kampanye phishing yang sedang berlangsung dari penjahat dunia maya yang membayar langganan untuk menggunakan platform PhaaS.

baru laporan dari IronNet memperingatkan kembalinya Robin Banks dan menyoroti langkah-langkah yang diambil operatornya untuk menyembunyikan dan melindungi platform dengan lebih baik dari para peneliti.

Di antara fitur-fitur baru adalah melewati otentikasi multi-faktor (MFA) dan redirector yang membantu menghindari deteksi.

Robin Banks memuat ulang

Untuk mendapatkan layanan mereka kembali online, operator Robin Bank beralih ke DDoS-Guard, penyedia layanan internet Rusia dengan sejarah panjang pertukaran bisnis yang kontroversial, beberapa pelanggannya Hamas, Parler, HKLeaksdan, baru-baru ini, Peternakan Kiwi.

Untuk mencegah orang luar mengakses panel phishing, Robin Banks kini telah menambahkan otentikasi dua faktor untuk akun pelanggan.

Selain itu, semua diskusi antara administrator inti sekarang dilakukan melalui saluran Telegram pribadi.

Pengalih baru

Salah satu fitur baru yang ditemukan oleh analis IronNet di Robin Banks adalah penggunaan ‘Adspect’, penyelubung pihak ketiga, filter bot, dan pelacak iklan.

Platform PhaaS menggunakan alat seperti Adspect untuk mengarahkan target yang valid ke situs phishing sambil mengarahkan pemindai dan lalu lintas yang tidak diinginkan ke situs web yang tidak berbahaya, sehingga menghindari deteksi.

Diagram fungsional Adspect
Diagram fungsional Adspect (adspect.ai)

IronNet berkomentar bahwa Adspect tidak mengiklankan dirinya sebagai bantuan phishing; namun, layanannya dipromosikan di beberapa forum web gelap dan di saluran Telegram yang didedikasikan untuk phishing.

melewati MFA

Pengembang Robin Banks juga telah menerapkan ‘Evilginx2‘ reverse proxy untuk serangan ‘adversary-in-the-middle’ (AiTM) dan mencuri cookie yang berisi token otentikasi.

Evilginx2 adalah alat proxy terbalik yang membangun komunikasi antara korban dan server layanan nyata, meneruskan permintaan login dan kredensial, dan menangkap cookie sesi dalam perjalanan.

Ini membantu pelaku phishing melewati mekanisme MFA karena mereka dapat menggunakan cookie yang diambil untuk masuk ke akun seolah-olah mereka adalah pemiliknya.

Robin Banks menjual fitur pemecah MFA baru ini secara terpisah, dan mengiklankan bahwa fitur tersebut berfungsi dengan ‘phislet’ Google, Yahoo, dan Outlook.

Fitur melewati MFA baru
Mempromosikan fitur baru mencuri cookie (Jaringan Besi)

Fakta bahwa Robin Banks bertahan dengan mengandalkan secara eksklusif pada alat dan layanan yang tersedia membuktikan bahwa platform PhaaS dapat dibangun oleh siapa saja yang cukup bertekad.

Yang lebar ketersediaan platform ini membuka pintu bagi penjahat dunia maya yang kurang teknis, memungkinkan mereka meluncurkan serangan phishing yang kuat dan melewati MFA untuk mencuri akun berharga.

Leave a Reply

Your email address will not be published. Required fields are marked *