แพลตฟอร์ม Phishing-as-a-service (PhaaS) Robin Banks กลับมาให้บริการอีกครั้งโดยบริษัทจากรัสเซีย ซึ่งเสนอมาตรการป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ให้อีกด้วย
Robin Banks หยุดให้บริการไปในเดือนกรกฎาคม 2022 หลังจากที่นักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ IronNet เปิดเผยว่าแพลตฟอร์มดังกล่าวเป็นบริการสำหรับการโจมตีแบบฟิชชิ่งที่กำลังได้รับความนิยมเป็นอย่างมาก และจะกำหนดเป้าหมายไปยังธนาคารต่าง ๆ เช่น Citibank, Bank of America, Capital One, Wells Fargo, PNC, US Bank, Santander, Lloyds Bank และ Commonwealth Bank จึงทำให้ Cloudflare จัดการขึ้นบัญชีดำระบบดังกล่าวทันที ซึ่งทำให้สามารถหยุดการดำเนินการของบริการ PhaaS ในครั้งนั้นได้
แต่จากรายงานครั้งใหม่จาก IronNet ระบุว่าพบการกลับมาของ Robin Banks อีกครั้ง รวมไปถึงมีมาตรการปกปิด และปกป้องแพลตฟอร์มจากการวิเคราะห์ของนักวิจัยได้ดียิ่งขึ้น โดยมีฟีเจอร์ใหม่ที่เพิ่มเข้ามาได้แก่ การ bypass multi-factor authentication (MFA) และการเปลี่ยนเส้นทางเว็ปไซต์เพื่อช่วยหลีกเลี่ยงการตรวจจับ
ในการกลับมาออนไลน์ครั้งนี้ ผู้ให้บริการของ Robin Banks หันไปหา DDoS-Guard ผู้ให้บริการอินเทอร์เน็ตของรัสเซียที่มีประวัติไม่ค่อยดี และมีลูกค้าอย่างกลุ่ม Hamas, Parler, HKLeaks และล่าสุดคือ Kiwi Farms เพื่อป้องกันไม่ให้บุคคลภายนอกสามารถเข้าไปควบคุมการดำเนินการของระบบได้ และ Robin Banks ได้เพิ่มฟีเจอร์ two-factor authentication สำหรับบัญชีของลูกค้า นอกจากนี้ช่องทางการสนทนาทั้งหมดระหว่างผู้ดูแลระบบจะทำผ่านช่องทาง Telegram
หนึ่งในฟีเจอร์ใหม่ที่นักวิเคราะห์ของ IronNet ค้นพบใน Robin Banks คือการใช้ 'Adspect' ซึ่งใช้เป็น third-party cloaker, bot filter, และ ad tracker
แพลตฟอร์ม PhaaS ใช้เครื่องมืออย่าง Adspect ในการกำหนดให้เป้าหมายถูกพาไปยังเว็บไซต์ฟิชชิ่ง ในขณะเดียวกันก็เปลี่ยนเส้นทางเครื่องมือการสแกนเพื่อใช้ตรวจสอบ และการรับส่งข้อมูลที่ไม่จำเป็นไปยังเว็บไซต์ที่ไม่เป็นอันตราย เพื่อช่วยหลีกเลี่ยงการตรวจจับ
MFA bypass
Robin Banks ใช้วิธีการติดตั้ง reverse proxy 'Evilginx2' สำหรับการโจมตีแบบ 'adversary-in-the-middle' (AiTM) เพื่อใช้ขโมยคุกกี้ที่มี authentication tokens
Evilginx2 เป็นเครื่องมือ reverse-proxy ที่สร้างการสื่อสารระหว่างเหยื่อกับเซิร์ฟเวอร์ของบริการจริง เมื่อมีการส่งคำขอเข้าสู่ระบบ และดักจับคุกกี้เซสชันระหว่างการรับ-ส่ง วิธีนี้จะช่วยให้การโจมตีแบบฟิชชิ่งสามารถ bypass MFA ได้ เนื่องจากสามารถใช้คุกกี้ที่ได้รับมาจากการล็อกอินเข้าสู่บัญชีเสมือนว่าเป็นเจ้าของจริง ๆ
Robin Banks ขายฟีเจอร์ MFA-bypass ใหม่นี้แยกต่างหาก และโฆษณาว่าใช้งานได้กับ Google, Yahoo และ Outlook 'phislets'
ที่มา : bleepingcomputer