Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

После того как IronNet предала огласке деятельность Robin Banks, провайдер Cloudflare внес в черный список домены фишинг-сервиса, которому пришлось приостановить работу. Спустя некоторое время вредоносная инфраструктура ожила — теневые бизнесмены перенесли фронтенд и бэкенд к российскому хостеру DDoS-Guard и усилили защиту платформы от блокировки.

По данным экспертов, PhaaS-сервис Robin Banks существует в Сети как минимум с августа 2020 года. Версия фишинг-платформы, попавшая в поле зрения IronNet, была введена в строй в марте-апреле этого года и проработала до конца июля, пока Cloudflare не отключил ее от своих служб.

Подписчикам Robin Banks предлагается доступ к фишинг-паку, позволяющему воровать финансовую информацию, а также учетки Google и Microsoft у жителей США, Канады, Великобритании и Австралии. Код вредоносного инструмента обфусцирован с помощью специального PHP-скрипта, опубликованного на GitHub.

Сменив хостинг-провайдера, владельцы PhaaS приняли меры защиты вредоносной активности от обнаружения. В частности, была введена двухфакторная аутентификация (2FA) на вход в GUI; подписчикам также предоставлена возможность использования Telegram-бота для сбора украденных данных.

Стоящая за Robin Banks кибергруппа даже попыталась создать закрытый канал Telegram для общения с клиентами, но просуществовал он недолго. Администрации пришлось отбиваться от любителей халявы; в ходе одной из таких перепалок представитель PhaaS-сервиса вспылил и открыл общий доступ к каналу, который тут же наполнился спамом.

Чтобы избавить клиентов от непрошеных посетителей, были созданы редиректоры. Под них закупили множество новых доменов, в том числе ironnet[.]click и ironpages[.]club (видимо, в пику экспертам, раскрывшим преступный бизнес). Первый поддельный IronNet-домен недолго использовался для перенаправления на админ-интерфейс, второй — для хостинга содержимого фишинг-пака (оба уже недоступны).

Редирект-функциональность фиш-пака Robin Banks реализована путем привязки его к серверам Adspect — инструмента сторонней разработки, позволяющего отсеивать источники трафика на основе черных списков, фингерпринта и ИИ-технологий.

Из новых функций, доступных подписчикам, исследователи особо отметили опцию кражи куки, предлагаемую за отдельную плату. По всей видимости, PhaaS-сервис решил расширить аудиторию, охватив также APT-группы, которым зачастую требуется обойти 2FA. Метод, позиционируемый как собственная разработка, использует новейшую версию evilginx — популярного у киберкриминала инструмента с открытым исходным кодом, позволяющего создавать обратный прокси.

 

Возрожденный Robin Banks — не единственная новинка на рынке готового инструментария для фишинга, о которой ИБ-экспертам стало известно в этом году. К сожалению, PhaaS-услуги пользуются спросом; в ответ плодятся такие сервисы, как EvilProxy и Caffeine.

Представители DDoS-Guard поделились комментарием и прояснили свою позицию:

«Компания DDoS-Guard не занимается «коллекционированием» сервисов злоумышленников, как нам приписывают в СМИ. Мы разрабатываем и применяем собственные методики для обнаружения и борьбы с фишинговыми сайтами, подробнее об этом можно прочитать в нашем блоге.

Мы не приветствуем незаконную деятельность и обман пользователей и немедленно реагируем, обнаружив нарушения Политики использования сервисов DDoS-Guard. В настоящий момент услуги защиты от DDoS-атак для фишинг-сервиса Robin Banks не предоставляются».

Мошенники спрятали фишинг под кнопкой «отписаться от рассылки»

Мошенники нашли ещё один способ сыграть на человеческом раздражении: теперь они рассылают фейковые рекламные письма, где под привычной кнопкой «отписаться» прячется фишинговая ссылка. На почту приходит письмо, похожее на обычную рекламную рассылку. Внизу стандартная фраза: не хотите получать такие сообщения, нажмите «отписаться» или перейдите по ссылке.

Об этом ТАСС сообщил сенатор Артём Шейкин. Пользователь, уже уставший от спама, кликает и попадает не на нормальную страницу отказа от рассылки, а на сайт с формой подтверждения отписки.

Вместо одной кнопки или максимум адреса электронной почты человеку предлагают ввести персональные данные: имя, фамилию, телефон, адрес почты и другую информацию.

По словам Шейкина, так злоумышленники получают не просто активный адрес электронной почты, а более ценный набор сведений о человеке. Потом эти данные можно использовать для новых фишинговых писем, звонков и точечных атак.

Особенно опасна схема для корпоративной почты. Если такие письма массово прилетают сотрудникам компании, мошенники могут собирать рабочие адреса, должности, телефоны и другую информацию для будущих атак. В общем, отписка может внезапно стать первым шагом ко взлому компании.

Главная уловка в том, что человек действует не из страха, а из раздражения. Ему хочется быстро убрать ненужную рассылку, поэтому он не смотрит внимательно ни на адрес сайта, ни на странные формулировки, ни на объём запрашиваемых данных.

Настоящая отписка не должна требовать паспорт, телефон или лишние персональные сведения. Если письмо выглядит сомнительно, лучше не жать на ссылки, а удалить его, отправить в спам или проверить отправителя через официальный сайт компании.

RSS: Новости на портале Anti-Malware.ru