La plataforma de phishing como servicio (PhaaS) Robin Banks ha trasladado su infraestructura a un «notorio proveedor ruso» que rara vez se deja influir por la ética o las solicitudes de eliminación, después de haber sido expulsado del proveedor de CDN con sede en EE. UU. (se abre en una pestaña nueva) Cloudflare en julio de 2022.
Cloudflare originalmente tomó medidas después de un informe (se abre en una pestaña nueva) de la compañía de investigación de amenazas de seguridad cibernética IronNet publicado en el mismo mes, pero una nueva investigación de seguimiento (se abre en una pestaña nueva) confirma que esto no fue suficiente para congelar el servicio.
Además, IronNet afirma que Robin Banks ha visto actualizaciones de funciones, como un «ladrón de cookies» que se puede usar para evadir las verificaciones de autenticación multifactor (MFA) que esperan hacer que el servicio sea aún más peligroso para las víctimas potenciales.
mudarse a rusia
Según el informe original de IronNet, IronNet proporcionó a los actores de amenazas una forma fácil y conveniente de intentar robar datos confidenciales de empresas, clientes bancarios y otros que guardan datos confidenciales.
Entre otras técnicas, el servicio podría engañar a los usuarios ofreciéndoles páginas de destino falsas para servicios legítimos ofrecidos por Google y Microsoft.
Luego de una interrupción de tres días, los organizadores de Robin Banks reubicaron su infraestructura de front-end y back-end en DDOS-GUARD, un popular proveedor de alojamiento ruso conocido por apoyar a los actores de amenazas e ignorar las solicitudes de eliminación.
Desde entonces, la plataforma PhaaS también ha introducido la autenticación de dos factores en el servicio, lo que permite a los clientes del kit ver información phishing a través de una interfaz gráfica de usuario (GUI) central.
Para colmo de males, la nueva capacidad de ladrón de cookies está bloqueada detrás de un servicio adicional de suscripción, lo que significa que los desarrolladores del kit de phishing se beneficiarán aún más, sin una forma simple de detenerlos en seco.
Según IronNet, el kit de phishing de Robin Banks se basa en gran medida en el código de fuente abierta y las herramientas disponibles en el mercado. Empaquetados como un servicio, reducen significativamente la barrera de entrada para cualquier persona interesada en participar en ataques de phishing.
El phishing, una práctica de ciberdelincuencia en la que los piratas informáticos buscan «pescar» información confidencial a través de correos electrónicos falsos, páginas de destino y aplicaciones móviles, es uno de los métodos más populares para robar datos de inicio de sesión y otros datos en casos de robo de identidad.
Vía: The Hacker News (se abre en una pestaña nueva)