Robin Banks è una piattaforma PhaaS (Phishing-as-a-Service) che viene offerta in abbonamento ai cybercriminali che vogliono accedere alle informazioni finanziarie dei clienti di note banche. L’infrastruttura era stata smantellata a luglio con l’intervento di Cloudflare, ma gli amministratori hanno ripristinato il servizio, aggiungendo altre funzionalità.
Robin Banks: nuovi attacchi di phishing bancario
Robin Banks è un tipo di servizio che permette di ottenere l’accesso iniziale ai sistemi delle vittime. I cybercriminali possono acquistare il phishing kit in abbonamento (fino a 300 dollari/mese) e configurarlo in base alle loro esigenze, scegliendo il sito della banca da imitare. La catena di infezione prevede ovviamente l’invio di email o SMS con il link al sito fasullo, in cui l’ignaro utente inserirà le credenziali di login all’account.
La prima campagna di phishing era stata bloccata a luglio, quando Cloudflare ha creato una blacklist per i domini usati dai cybercriminali. Gli amministratori del servizio hanno quindi modificato l’infrastruttura, posizionando back-end e front-end sui server del provider russo DDoS-Guard, noto per ospitare vari contenuti illeciti.
I gestori della piattaforma PhaaS hanno inoltre implementato l’autenticazione in due fattori per gli account dei clienti e aperto un canale privato su Telegram per lo scambio di informazioni. L’ultima versione di Robin Banks offre la funzionalità che consente di aggirare l’autenticazione a due fattori degli account bancari attraverso il furto dei cookie di sessione. Ciò avviene tramite un attacco “adversary-in-the-middle” con il tool di reverse proxy Evilginx2.