Robin Banks は Phishing-as-a-Service：機能を充実させて脅威を増大させる

Robin Banks phishing-as-a-service platform continues to evolve

2022/11/07 SecurityAffairs — Phishing-as-a-Service (PhaaS) プラットフォームの Robin Banks は、以前は Cloudflare のプロバイダーによりホストされていたが、7月に通知を受けた同社が、Robin Banks のフィッシング・インフラをサービスから切り離し、現在に至っている。この変化により、Robin Banks の運営には数日の混乱が生じたが、このプラットフォームの管理者により、ロシアの防弾ホスティング・プロバイダー DDoS-Guard への移行などが行われたようだ。

研究者である Brian Krebs によると、陰謀論運動を展開する QAnon や 8chan のコンテンツや、テロリスト集団 Hamas の公式サイトも、DDoS-Guard によりホスティングされていたとのことだ。このプロバイダーは、法執行機関が出したテイクダウン要求に決して応じないことで知られている。

サイバー・セキュリティ企業 IronNet の専門家たちは、Robin Banks の運営者が、フィッシング・キットのアドオンとして顧客に販売する、新しいクッキー窃取機能を追加したことも指摘している。この機能を利用する攻撃者は、キャンペーンで多要素認証 (MFA) を回避きるようになる。 

Robin Banks へのフルアクセスは $200／月だが、この機能は $1,500／月で提供されている。

Robin Banks の分析が行われたのは、2022年7月が初めてのことであり、オープンソース・コードと既製のツールに大きく依存していることが判明した。

IronNet が発表したレポートには、「Robin Banks は、インフラを DDoS-Guard へ移行することに加えて、そのプラットフォーム上でセキュリティ強化を実施した。そこに含まれたものには、フィッシング情報を、キットの顧客がメイン GUI を介して閲覧するための、二要素認証 (2FA) の実装もある。しかし、2FA を実装したくない顧客の場合には、Robin Banks の GUI からのアクセスに代えて、フィッシング情報を Telegram ボットに送信させることも可能だ」と記されている。

専門家たちは、Robin Banks の配布物に含まれる一般的なフィッシュレットとして、Google／Yahoo／Outlook の３つを観測した。フィッシュレットとは、正規の Web サイトをフィッシング・サイトにプロキシするための設定ファイルであり、基本的にフィッシング・キット evilginx2 で使用されているものだ。

研究者たちが、このフィッシング・キット・コアを難読化を解除した後に、専門家たちは、Adspect というサードパーティの広告詐欺検出サービスから、コードが借用されていることを発見した。 

Adspect は、ブラックリスト／フィンガー・プリンティング／機械学習技術を通じて、Web トラフィックに含まれる不要なビジターを検出し、フィルタリングするものだ。 したがって Adspect は、フィッシング・キャンペーンのターゲットを悪意のサイトにリダイレクトし、スキャナーや不要なトラフィックを良性の Web サイトにリダイレクトすることで、検出の回避を可能にしてしまう。

研究者たちは、「Robin Banks は、オープンソースのコードと市販のツールに大きく依存している。そして、フィッシング攻撃を行うだけではなく、サービス・プロバイダーとして PhaaS プラットフォームを作成し、他の脅威アクターに提供することで、参入障壁が引き下げられることを示している。このようなキットを作成し、他者に使用させて数百ドル〜数千ドルを請求することで、高度な技術を不要にしている。このように、サイバー犯罪のプラットフォームをホストし、サイバー犯罪を身近なものにする、各種の Web ツールの利用が増加したことで、少ない労力で素早く利益を引き出すオプションが成立している」と懸念を示している。

最近は、Caffeine／EvilProxy／Frappo などの、新しいPhaaS サービスが話題になり、また、脅威アクターたちを引きつけている。

このブログで、これまでに取り上げた Phishing-as-a-Service に関しては、9月5日の「EvilProxy という Phishing-as-a-Service：低スキル・ハッカーに高度な手口を提供」と、10月10日の「Caffeine という Phishing-as-a-Service：ディフォルト標的は Microsoft 365」があります。2021年9月に Microsoft が警告を発し、2022年2月には ZeroFox が流行を予測していましたが、秋になって続々と Phishing-as-a-Service の存在が明らかにされています。