Peligrosa plataforma dedicada al phishing bancario está activa nuevamente
La plataforma de phishing como servicio (PhaaS) Robin Banks vuelve a estar en acción con una infraestructura alojada en una empresa de Internet rusa. La empresa de alojamiento ofrece protección contra ataques distribuidos de denegación de servicio (DDoS).
Robin Banks enfrentó una interrupción operativa en julio de 2022, cuando los investigadores de IronNet expusieron la plataforma como un servicio de phishing altamente amenazante dirigido a Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Santander, Lloyds Bank y Commonwealth Bank.
Cloudflare inmediatamente incluyó en la lista negra el frontend y el backend de la plataforma. Esto detuvo abruptamente las campañas de phishing en curso de los ciberdelincuentes que pagan una suscripción para usar la plataforma PhaaS.
Un nuevo informe de IronNet advierte sobre el regreso de Robin Banks y destaca las medidas que sus operadores han tomado para ocultar y proteger mejor la plataforma de los investigadores.
Entre las nuevas funciones se encuentran la evasión de la autenticación multifactor (MFA) y un redireccionador que ayuda a evitar la detección.
Robin Banks recargado
Para volver a poner su servicio en línea, los operadores de Robin Bank recurrieron a DDoS-Guard. DDoS-Guard es un proveedor de servicios de Internet ruso con una larga historia de intercambios comerciales controvertidos. Algunos de sus clientes son Parler, HKLeaks y, más recientemente, Kiwi Farms.
Según Brian Krebs, además de los ciberdelincuentes, DDOS-GUARD también ha alojado contenido para los movimientos de teorías conspirativas QAnon y 8chan, así como el sitio oficial del grupo terrorista Hamas. Este proveedor de alojamiento también es conocido por no cumplir con las solicitudes de eliminación, lo que lo hace más atractivo a los ojos de los actores de amenazas.
Además de migrar su infraestructura a DDOS-GUARD, Robin Banks también comenzó a aplicar una mayor seguridad en la plataforma. Esto probablemente por temor a que alguien hackeara su interfaz de administración
Por ejemplo, para evitar que personas externas accedan al panel de phishing, Robin Banks ahora ha agregado autenticación de dos factores para las cuentas de los clientes.
Los desarrolladores de Robin Banks también están intentando dificultar el acceso a la información sobre la plataforma y las actividades de sus clientes. Con el fin de privatizar las conversaciones de los administradores en torno a la plataforma, los administradores de Robin Banks crearon un canal de Telegram privado separado.
Nuevo redirector
Una de las nuevas características que los analistas de IronNet descubrieron en Robin Banks es el uso de ‘Adspect’. Adspect es un Cloaker, un filtro de bots y un rastreador de anuncios.
Esencialmente, es una herramienta para detectar y filtrar visitantes no deseados en el tráfico web a través de técnicas de listas negras, huellas digitales y aprendizaje automático.
Las plataformas PhaaS usan herramientas como Adspect para dirigir objetivos válidos a sitios de phishing mientras redireccionan los escáneres y el tráfico no deseado a sitios web benignos. En otras palabras, así evaden la detección.
En su sitio oficial, Adspect también brinda mejores prácticas y asesoramiento a los clientes sobre cómo conducir objetivos legítimos a “sitios de dinero” (es decir, sitios de phishing) mientras filtra los escáneres/bots automatizados a páginas seguras. La plataforma es muy cuidadosa con la redacción para no usar la palabra phishing. Sin embargo, los analistas han observado que sus servicios se anuncian a través de canales de phishing conocidos en los sitios de Telegram y TOR.
Omisión de MFA
Los desarrolladores de Robin Banks también han implementado el proxy inverso ‘ Evilginx2’ para ataques de ‘adversario en el medio’ (AiTM) y robar cookies que contienen tokens de autenticación.
Evilginx2 funciona creando un proxy inverso. Una vez que un usuario es atraído al sitio de phishing, se le presenta una página de phishing (a través de phishlets) con certificados SSL localizados.
El usuario tiene un proxy interno y, una vez que se produce un inicio de sesión exitoso en el destino (por ejemplo, Gmail), se capturan el nombre de usuario, la contraseña y el token de inicio de sesión. Luego, el atacante puede ver estas credenciales robadas a través de la interfaz de Robin Banks, su bot de Telegram o la terminal del servidor evilginx2.
Desde allí, el atacante puede abrir su propio navegador, insertar el token de inicio de sesión robado, ingresar las credenciales para evitar con éxito 2FA y acceder a la cuenta deseada. Si bien el repositorio oficial de evilginx2 tiene phishlets adicionales, Robin Banks ha elegido solo apuntar a proveedores conocidos.
Robin Banks vende esta nueva característica de evasión de MFA por separado y anuncia que funciona con Google, Yahoo y Outlook.
Conclusión
La fuerte dependencia de Robin Banks en el código de fuente abierta y las herramientas listas para usar muestra cuán baja es la barrera de entrada no solo para realizar ataques de phishing, sino también para convertirse en un proveedor de servicios y crear una plataforma PhaaS para que otros la puedan usar.
No se necesita un alto nivel de sofisticación para crear una herramienta como esta y cobrar de cientos a miles de dólares para que otros lo usen. Por lo tanto, el uso cada vez mayor de diferentes herramientas web para alojar plataformas de ciberdelincuentes plantea preocupaciones a medida que el ciberdelito se vuelve más accesible y una opción de bajo esfuerzo para obtener ganancias rápidas.
Sin embargo, dada esta fácil entrada en el campo del PhaaS para los desarrolladores, el mercado cada vez más saturado comenzará a motivar a las plataformas existentes a mejorar su oferta de productos. Esto obligará a introducir nuevas funciones, como el robo de cookies, para seguir siendo competitivas.
