Biztonsági kutatók nemrég fedeztek fel egy olyan platformot, amely hozzáférést és támogatást kínál az amerikai bankokat célzó adathalász szoftverekhez, köztük a Chase-hez, a Bank of America-hoz és a Wells Fargo-hoz.
A kutatók a programot az adathalászat szolgáltatásként osztályozták, mivel olyan kódok, képek és konfigurációs fájlok értékesítését foglalja magában, amelyeket az emberek megvásárolhatnak, és hamis bejelentkezési oldalakat hozhatnak létre, amelyek segítségével ellophatják az áldozatok hitelesítő adatait.
Az IronNet kiberbiztonsági cég elemzői – jelentette be a felfedezés Robin Banks, és a múlt héten közzétette azon mérséklési stratégiák listáját, amelyeket a vállalatok alkalmazhatnak alkalmazottaik és ügyfeleik felkutatására, és megakadályozzák, hogy áldozattá váljanak.
Az IronNet a Robin Banks platformról írt blogbejegyzésében elmondta, hogy a kutatók felfedezték a “nagyszabású” kampányt, amely SMS-ben és e-mailben célozza meg az áldozatokat. Az IronNet szerint a fenyegető szereplők nyereségorientáltaknak tűntek, és az alapfelhasználókat célozzák meg, nem pedig a nagy értékű vagy más módon különleges felhasználókat.
„Úgy tűnik, a készletet használó csalók elsődleges motivációja anyagi jellegű, azonban a készlet az adathalász céloldalra való utazás után az áldozatoktól is elkéri a Google és a Microsoft hitelesítő adatait, jelezve, hogy a készletet a kifinomultabb fenyegetés szereplői is használhatják, akik szeretnének nyerni. kezdeti hozzáférés a vállalati hálózatokhoz zsarolóvírusok vagy más behatolás utáni tevékenységek miatt” – áll az IronNet blogbejegyzésében.
Az IronNet szerint a Robin Banks legalább 2020 augusztusa óta aktív, a legújabb platformot pedig 2022 márciusában vagy áprilisában állították üzembe.
Azok az emberek, akik érdeklődnek a Robin Banks hozzáférés vásárlása iránt, ellátogathatnak a most letiltva nyilvános webhelyen (a sötét webhelyekkel szemben), hogy böngésszen az adathalász készlet árai és szolgáltatásai között. Bár a webhely már offline állapotban van, új oldalak jöttek létre Robin Banks-szal folyamatosan felbukkan online.
Az előfizetést vásárló fenyegetés szereplői számára a felhasználói irányítópult információt nyújt az általuk elért kattintások számáról, az új adathalász oldalak létrehozásának funkcióiról, valamint a bitcoin segítségével történő pénzeszközök pénztárcájába történő feltöltésének lehetőségeiről.
A Robin Banks mögött álló csoport havi 50 dollárért ad el egyetlen adathalász oldalhoz való hozzáférést, vagy 200 dollárért a platform által kínált összes oldalhoz való hozzáférést. Mindkét ár tartalmazza a napi 24 órás támogatást és a platform jövőbeli frissítéseit. Azok a felhasználók, akik adathalász készletet vásároltak, módosíthatják oldalaikat a bottevékenység blokkolása érdekében. Az IronNet szerint a Robin Banks mögött álló csoport több mint 500 000 dollárt halmozott fel.
Az IronNet elemzői szerint a Robin Banks készlettel ellopott hitelesítő adatokhoz hozzáférhetnek mind a platformhoz hozzáférést vásárló fenyegetés szereplői, mind a Robin Banks rendszergazdái.
Az IronNet blogbejegyzésében egy konkrét esetet írt le egy fenyegetett szereplőről, aki a Robin Banks platformot használta a Citibank és a Microsoft hitelesítő adatainak ellopására egy kampányban, amely elemzők szerint “nagyon sikeresnek bizonyult”, mivel számos áldozat fiókinformációit a sötétben eladták. interneten és különböző csatornákon a Telegramban, a bűnözői csoportok körében népszerű üzenetküldő platformon.
A kutatók elmondták, hogy a fenyegetettség szereplője a Robin Banks által támogatott kampányt próbálta kiterjeszteni más platformokról érkező ügyfelek megcélzására. A bővítés részeként a fenyegetettség szereplője az Amazon Web Services, a Microsoft, a DigitalOcean, az Oracle, a Google és a Cloudflare szolgáltatásait is megkísérelte használni.
Roger Grimes, a KnowBe4 biztonságtudatossági képzési platform adatvezérelt védelmi evangélistája szerint a vállalatok hajlamosak alábecsülni az olyan szociális tervezési támadásokban rejlő lehetőségeket, mint az adathalászat.
“Minden szervezetnek többet kell összpontosítania a social engineering és az adathalászat leküzdésére, és kevesebbet más típusú támadásokra, amelyek sokkal kevésbé valószínűek” – mondta Grimes. “Ez azért van, mert szinte minden vállalat nem összpontosít eléggé a social engineeringre, mint a legfontosabb támadási vektorra, amely lehetővé teszi a hackerek és rosszindulatú programjaik ilyen sikerességét.”
Az IronNet ajánlásai az adathalász támadások elkerülésére, többek között a Robin Banks és leányvállalatai által elkövetett adathalász támadások elkerülésére, többek között arra tanítják az alkalmazottakat és az ügyfeleket, hogy soha ne kattintsanak az SMS-ben vagy e-mailben küldött linkekre, valamint arra ösztönzi az ügyfeleket és a személyzetet, hogy használjanak jelszókezelőket, hogy biztosítsák az egyedi hitelesítő adatok használatát minden fiókhoz. . többtényezős hitelesítés minden fiókhoz, ahol elérhető, és adathalász képzést igényel az alkalmazottak és más partnerek számára.
Ezenkívül az IronNet szállított URL-keresés eszköz, amely lehetővé teszi a bankok és más intézmények számára, hogy a Robin Banks készlet segítségével olyan oldalakat találjanak, amelyek webhelyeiknek adják ki magukat. A közelmúltban felfedezett URL-ek a Bank of America, a Capital One, a Truist, a Navy Federal Credit Union és más pénzintézetek domainjeit utánozták.
.