La plate-forme de phishing-as-a-service (PhaaS) Robin Banks a transféré son infrastructure à un « fournisseur russe notoire » rarement influencé par l’éthique ou les demandes de retrait, après avoir été démarré par le fournisseur CDN basé aux États-Unis (s’ouvre dans un nouvel onglet) Cloudflare en juillet 2022.
Cloudflare a initialement pris des mesures suite à un rapport (s’ouvre dans un nouvel onglet) de la société de recherche sur les menaces à la cybersécurité IronNet publiée le même mois, mais de nouvelles recherches de suivi (s’ouvre dans un nouvel onglet) confirme que cela n’a pas suffi à mettre le service sur la glace.
En outre, IronNet affirme que Robin Banks a vu des mises à jour de fonctionnalités, telles qu’un « voleur de cookies » qui peut être utilisé pour échapper aux contrôles d’authentification multifacteur (MFA) qui espèrent rendre le service encore plus dangereux pour les victimes potentielles.
Déménager en Russie
Selon le rapport initial d’IronNet, IronNet a fourni aux acteurs de la menace un moyen simple et pratique d’essayer de voler des données sensibles aux entreprises, aux clients des banques et à d’autres personnes détenant des données sensibles.
Entre autres techniques, le service pourrait tromper les utilisateurs en proposant de fausses pages de destination pour les services légitimes proposés par Google et Microsoft.
Après une longue panne de trois jours, les organisateurs de Robin Banks ont déplacé son infrastructure frontale et dorsale vers DDOS-GUARD, un fournisseur d’hébergement russe populaire connu pour soutenir les acteurs de la menace et ignorer les demandes de retrait.
La plate-forme PhaaS a également introduit depuis l’authentification à deux facteurs dans le service, permettant aux clients du kit de visualiser les informations de phishing via une interface utilisateur graphique (GUI) centrale.
Ajoutant l’insulte à l’injure, la nouvelle capacité de voleur de cookies est verrouillée derrière un service complémentaire d’abonnement, ce qui signifie que les développeurs du kit de phishing en tireront encore plus de profit, sans aucun moyen simple de les arrêter dans leur élan.
Selon IronNet, le kit de phishing de Robin Banks s’appuie fortement sur du code open source et des outils disponibles dans le commerce. Présentés en tant que service, ils réduisent considérablement la barrière à l’entrée pour toute personne intéressée à se livrer à des attaques de phishing.
L’hameçonnage, une pratique de cybercriminalité dans laquelle les pirates informatiques cherchent à « pêcher » des informations sensibles via de faux e-mails, pages de destination et applications mobiles, est l’une des méthodes les plus populaires pour voler des informations de connexion et d’autres données ciblées en cas d’usurpation d’identité.
Via : The Hacker News (s’ouvre dans un nouvel onglet)