Một nền tảng lừa đảo dưới dạng dịch vụ (PhaaS) được gọi làRobin Banksđã chuyển cơ sở hạ tầng tấn công của mình sang DDoS-Guard, một nhà cung cấp dịch vụ lưu trữ chống đạn của Nga.
Việc chuyển đổi diễn ra sau khi "Cloudflare tách rời cơ sở hạ tầng lừa đảo Robin Banks khỏi các dịch vụ của mình, gây gián đoạn hoạt động trong nhiều ngày", theo một báo cáo từ công ty an ninh mạng IronNet.
Robin Banks lần đầu tiên được ghi nhận vào tháng 7 năm 2022 khi khả năng của nền tảng cung cấp bộ dụng cụ lừa đảo làm sẵn cho các tác nhân tội phạm được tiết lộ, giúp đánh cắp thông tin tài chính của khách hàng của các ngân hàng nổi tiếng và các dịch vụ trực tuyến khác.
Nó cũng được phát hiện để nhắc người dùng nhập thông tin đăng nhập của Google và Microsoft trên các trang đích lừa đảo, cho thấy một phần của các tác giả phần mềm độc hại cố gắng kiếm tiền từ quyền truy cập ban đầu vào mạng công ty cho các hoạt động sau khai thác như gián điệp và ransomware.
Trong những tháng gần đây, quyết định chặn cơ sở hạ tầng của Cloudflare sau khi được tiết lộ công khai đã khiến nam diễn viên Robin Banks chuyển giao mặt trước và phụ trợ của mình sang DDoS-Guard, nơi trước đây đã tổ chức mạng xã hội công nghệ thay thế Parler và Kiwi Farms khét tiếng.
"Nhà cung cấp dịch vụ lưu trữ này cũng nổi tiếng là không tuân thủ các yêu cầu gỡ bỏ, do đó làm cho nó trở nên hấp dẫn hơn trong mắt các tác nhân đe dọa," các nhà nghiên cứu lưu ý.
Đứng đầu trong số các bản cập nhật mới được giới thiệu là chức năng đánh cắp cookie, được coi là một nỗ lực để phục vụ nhóm khách hàng rộng lớn hơn, chẳng hạn như các nhóm mối đe dọa dai dẳng nâng cao (APT) đang tìm cách xâm phạm các môi trường doanh nghiệp cụ thể. Nó được cung cấp với giá 1,500 đô la mỗi tháng.
Điều này đạt được bằng cách sử dụng lại mã từ evilginx2, một khung tấn công đối thủ ở giữa (AiTM) mã nguồn mở được sử dụng để đánh cắp thông tin đăng nhập và cookie phiên từ Google, Yahoo và Microsoft Outlook ngay cả trên các tài khoản đã bật xác thực đa yếu tố (MFA).
Robin Banks cũng được cho là đã kết hợp một biện pháp bảo mật mới yêu cầu khách hàng của mình bật xác thực hai yếu tố (2FA) để xem thông tin bị đánh cắp thông qua dịch vụ, hoặc, cách khác, nhận dữ liệu thông qua bot Telegram.
Một tính năng đáng chú ý khác là việc sử dụng Adspect, một dịch vụ phát hiện gian lận quảng cáo, để chuyển hướng mục tiêu của các chiến dịch lừa đảo đến các trang web lừa đảo, đồng thời dẫn đầu các máy quét và lưu lượng truy cập không mong muốn đến các trang web lành tính để lọt vào tầm ngắm.
Những phát hiện này chỉ là mới nhất trong một loạt các dịch vụ PhaaS mới xuất hiện trong bối cảnh mối đe dọa, bao gồm Frappo, EvilProxy và Caffeine, khiến tội phạm mạng dễ tiếp cận hơn với những kẻ xấu nghiệp dư và có kinh nghiệm.
Hơn nữa, những cải tiến cũng cho thấy nhu cầu ngày càng tăng đối với các tác nhân đe dọa dựa vào các phương pháp khác nhau như AiTM và ném bom nhanh chóng (hay còn gọi là mệt mỏi MFA) - như đã quan sát gần đây trong trường hợp của Uber - để phá vỡ các biện pháp an ninh và có quyền truy cập ban đầu.
Các nhà nghiên cứu cho biết: "Cơ sở hạ tầng của bộ công cụ lừa đảo Robin Banks phụ thuộc rất nhiều vào mã nguồn mở và công cụ có sẵn, đóng vai trò là ví dụ điển hình về việc hạ thấp rào cản gia nhập để không chỉ tiến hành các cuộc tấn công lừa đảo mà còn tạo ra nền tảng PhaaS cho những người khác sử dụng".