Plataforma de Phishing-as-a-Service do Robin Banks tem como alvo as credenciais do Citibank

Pesquisadores de segurança detalham um novo phishing como serviço (Phaas) plataforma em um relatório divulgado recentemente. A plataforma é um exemplo de como os corretores de acesso inicial ganham uma posição nas redes das organizações.

Robin Banks é o nome de uma nova plataforma PhaaS que, como o nome do serviço sugere, oferece kits de phishing prontos para acesso a detalhes financeiros e informação pessoal de indivíduos nos EUA, o Reino Unido., Canadá, e na Austrália.

A grande campanha e phishing plataforma foi descoberta por pesquisadores da IronNet. Apelidado de Robin Banks, o serviço tem como alvo as vítimas via SMS e e-mail na tentativa de obter acesso a credenciais pertencentes ao Citibank, Contas do Google e da Microsoft.

De acordo com o relatório da IronNet, a principal motivação para os golpistas é financeira. O kit Robin Banks, Contudo, também tenta obter credenciais para contas Google e Microsoft, indicando que também pode ser usado por agentes de ameaças mais avançados que desejam obter acesso inicial a redes corporativas. Uma vez concedido esse acesso, os cibercriminosos podem realizar ataques de ransomware, bem como outras atividades maliciosas pós-intrusão.

O que há em um phishing-as-a-service (PhaaS) estojo?

"Geralmente, esses kits incluem conjuntos de arquivos pré-empacotados para conter todo o código, gráficos, e arquivos de configuração necessários para criar uma página de phishing. Isso pode incluir recursos como bancos de dados selecionados de alvos ou modelos de e-mail de marca, e geralmente são projetados para serem facilmente implantáveis e reutilizáveis,” explicou o relatório.

disse brevemente, Os kits PhaaS fornecem uma maneira eficiente para os agentes de ameaças de todos os níveis obterem acesso a contas e redes especificamente direcionadas.

O que há de específico sobre a plataforma Robins Banks PhaaS?

O chamado ator de ameaças Robin Banks parece estar especificamente interessado em atacar empresas financeiras sediadas nos EUA, bem como outras organizações no Reino Unido, Canadá, e na Austrália. Os pesquisadores descobriram que o agente da ameaça está usando o IP 5.206.227[.]166 e está ativo desde pelo menos agosto 2020. A plataforma mais recente do agente da ameaça está em operação desde março ou abril 2022.

Golpistas interessados na plataforma e serviço devem criar uma conta e pagar via Bitcoin. “Ao entrar no site, os clientes se deparam com um painel bem organizado, oferecendo uma barra lateral com recursos para configurar uma nova página, monitorar páginas atuais, adicionar fundos à carteira, e mais," o relatório revelou.

Preços da plataforma de Phishing-as-a-Service do Robin Banks

Páginas únicas, incluindo possíveis atualizações futuras e 24/7 Apoio, suporte, estão disponíveis para $50 por mês. Para acesso completo, incluindo acesso a todas as páginas, além de atualizações e 24/7 Apoio, suporte, a plataforma exige uma taxa mensal de $200.

Quanto aos preços médios, um único kit implantado por meio de um provedor de phishing como serviço pode custar entre US$ 150 e US$ 300/mês, o relatório compartilhado. O preço pode ser maior, dependendo dos serviços prestados.

O kit de phishing Robin Banks oferece opções de personalização graças às quais os golpistas podem se passar por várias marcas. Os golpistas também têm a opção de optar por bloquear usuários com base nas strings do agente do usuário ou usar o reCAPTCHA quando a atividade do bot é detectada.

Em conclusão, apesar de não ser muito diferente da plataforma PhaaS média por aí, A dedicação de Robin Banks 24/7, corrigir bugs e enviar atualizações para seus recursos o torna excelente.