Cyberthreat.id – Menurut peneliti keamanan dari IronNet, platform phishing-as-a-service (PhaaS) Robin Banks kembali beraksi untuk mencuri rekening perbankan para pengguna internet.

Dikutip dari Bleeping Computer, Robin Banks kembali dengan infrastruktur yang dihosting oleh perusahaan internet Rusia, yang menawarkan perlindungan terhadap serangan penolakan layanan (DDoS) terdistribusi.

Robin Banks menghadapi gangguan operasional pada Juli 2022, ketika para peneliti di IronNet mengekspos platform tersebut sebagai layanan phishing yang sangat mengancam yang menargetkan Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Santander, Lloyds Bank, dan Commonwealth Bank.

Sebuah laporan baru dari IronNet memperingatkan kembalinya Robin Banks dan menyoroti langkah-langkah yang telah diambil operatornya untuk menyembunyikan dan melindungi platform dengan lebih baik dari para peneliti. Di antara fitur-fitur baru adalah melewati otentikasi multi-faktor (MFA) dan redirector yang membantu menghindari deteksi.

Peneliti mengatakan, untuk mendapatkan layanan mereka kembali online, operator Robin Bank beralih ke DDoS-Guard, penyedia layanan internet Rusia dengan sejarah panjang pertukaran bisnis yang kontroversial, beberapa pelanggannya adalah Hamas, Parler, HKLeaks, dan, baru-baru ini, Kiwi Farms.

Untuk mencegah orang luar mengakses panel phishing, Robin Banks kini telah menambahkan otentikasi dua faktor untuk akun pelanggan. Selain itu, semua diskusi antara administrator inti

“Salah satu fitur baru yang ditemukan oleh analis IronNet di Robin Banks adalah penggunaan 'Adspect', penyelubung pihak ketiga, filter bot, dan pelacak iklan,” kata peneliti.

Platform PhaaS menggunakan alat seperti Adspect untuk mengarahkan target yang valid ke situs phishing sambil mengarahkan pemindai dan lalu lintas yang tidak diinginkan ke situs web yang tidak berbahaya, sehingga menghindari deteksi.

IronNet mengatakan, bahwa Adspect tidak mengiklankan dirinya sebagai bantuan phishing; namun, layanannya dipromosikan di beberapa forum web gelap dan di saluran Telegram yang didedikasikan untuk phishing. Pengembang Robin Banks juga telah menerapkan proxy terbalik 'Evilginx2' untuk serangan 'adversary-in-the-middle' (AiTM) dan mencuri cookie yang berisi token otentikasi.

Evilginx2 adalah alat reverse-proxy yang membangun komunikasi antara korban dan server layanan nyata, meneruskan permintaan login dan kredensial dan menangkap cookie sesi dalam perjalanan.

Ini membantu pelaku phishing melewati mekanisme MFA karena mereka dapat menggunakan cookie yang diambil untuk masuk ke akun seolah-olah mereka adalah pemiliknya.

“Robin Banks menjual fitur pemecah MFA baru ini secara terpisah, dan mengiklankan bahwa fitur tersebut berfungsi dengan 'phislet' Google, Yahoo, dan Outlook,” kata peneliti.

Fakta bahwa Robin Banks bertahan dengan mengandalkan secara eksklusif pada alat dan layanan yang tersedia membuktikan bahwa platform PhaaS dapat dibangun oleh siapa saja yang cukup bertekad. Ketersediaan luas dari platform ini membuka pintu bagi penjahat dunia maya yang kurang teknis, memungkinkan mereka untuk meluncurkan serangan phishing yang kuat dan memotong MFA untuk mencuri akun berharga.