Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

Фишинг-сервис Robin Banks поменял хостинг и вновь в строю

После того как IronNet предала огласке деятельность Robin Banks, провайдер Cloudflare внес в черный список домены фишинг-сервиса, которому пришлось приостановить работу. Спустя некоторое время вредоносная инфраструктура ожила — теневые бизнесмены перенесли фронтенд и бэкенд к российскому хостеру DDoS-Guard и усилили защиту платформы от блокировки.

По данным экспертов, PhaaS-сервис Robin Banks существует в Сети как минимум с августа 2020 года. Версия фишинг-платформы, попавшая в поле зрения IronNet, была введена в строй в марте-апреле этого года и проработала до конца июля, пока Cloudflare не отключил ее от своих служб.

Подписчикам Robin Banks предлагается доступ к фишинг-паку, позволяющему воровать финансовую информацию, а также учетки Google и Microsoft у жителей США, Канады, Великобритании и Австралии. Код вредоносного инструмента обфусцирован с помощью специального PHP-скрипта, опубликованного на GitHub.

Сменив хостинг-провайдера, владельцы PhaaS приняли меры защиты вредоносной активности от обнаружения. В частности, была введена двухфакторная аутентификация (2FA) на вход в GUI; подписчикам также предоставлена возможность использования Telegram-бота для сбора украденных данных.

Стоящая за Robin Banks кибергруппа даже попыталась создать закрытый канал Telegram для общения с клиентами, но просуществовал он недолго. Администрации пришлось отбиваться от любителей халявы; в ходе одной из таких перепалок представитель PhaaS-сервиса вспылил и открыл общий доступ к каналу, который тут же наполнился спамом.

Чтобы избавить клиентов от непрошеных посетителей, были созданы редиректоры. Под них закупили множество новых доменов, в том числе ironnet[.]click и ironpages[.]club (видимо, в пику экспертам, раскрывшим преступный бизнес). Первый поддельный IronNet-домен недолго использовался для перенаправления на админ-интерфейс, второй — для хостинга содержимого фишинг-пака (оба уже недоступны).

Редирект-функциональность фиш-пака Robin Banks реализована путем привязки его к серверам Adspect — инструмента сторонней разработки, позволяющего отсеивать источники трафика на основе черных списков, фингерпринта и ИИ-технологий.

Из новых функций, доступных подписчикам, исследователи особо отметили опцию кражи куки, предлагаемую за отдельную плату. По всей видимости, PhaaS-сервис решил расширить аудиторию, охватив также APT-группы, которым зачастую требуется обойти 2FA. Метод, позиционируемый как собственная разработка, использует новейшую версию evilginx — популярного у киберкриминала инструмента с открытым исходным кодом, позволяющего создавать обратный прокси.

 

Возрожденный Robin Banks — не единственная новинка на рынке готового инструментария для фишинга, о которой ИБ-экспертам стало известно в этом году. К сожалению, PhaaS-услуги пользуются спросом; в ответ плодятся такие сервисы, как EvilProxy и Caffeine.

Представители DDoS-Guard поделились комментарием и прояснили свою позицию:

«Компания DDoS-Guard не занимается «коллекционированием» сервисов злоумышленников, как нам приписывают в СМИ. Мы разрабатываем и применяем собственные методики для обнаружения и борьбы с фишинговыми сайтами, подробнее об этом можно прочитать в нашем блоге.

Мы не приветствуем незаконную деятельность и обман пользователей и немедленно реагируем, обнаружив нарушения Политики использования сервисов DDoS-Guard. В настоящий момент услуги защиты от DDoS-атак для фишинг-сервиса Robin Banks не предоставляются».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru