Operação policial Global interrompe serviço de phishing ‘LabHost’, mais de 30 presos em todo o mundo.

Sticky 01/10/2024
phishing LabHost
Visualizações: 2

Cerca de 37 pessoas foram presas como parte de uma repressão internacional a um serviço de crimes cibernéticos chamado LabHost , que tem sido usado por criminosos para roubar credenciais pessoais de vítimas ao redor do mundo.

Descrito como um dos maiores provedores de Phishing-as-a-Service ( PhaaS ), o LabHost oferecia páginas de phishing direcionadas a bancos, organizações de alto perfil e outros provedores de serviços localizados principalmente no Canadá, EUA e Reino Unido.

Como parte da operação, cujo codinome é PhishOFF e Nebulae (em referência ao braço australiano da investigação), dois usuários do LabHost de Melbourne e Adelaide foram presos em 17 de abril, e outros três foram presos e acusados ​​de crimes relacionados a drogas.

“Os criminosos australianos estão supostamente entre os 10.000 cibercriminosos no mundo todo que usaram a plataforma, conhecida como LabHost, para enganar as vítimas e fazê-las fornecer suas informações pessoais, como logins de banco on-line, detalhes de cartão de crédito e senhas, por meio de ataques persistentes de phishing enviados por mensagens de texto e e-mails”, disse a Polícia Federal Australiana (AFP) em um comunicado.

O esforço coordenado liderado pela Europol também testemunhou a apreensão de 32 outros indivíduos entre 14 e 17 de abril, incluindo quatro no Reino Unido que são supostamente responsáveis ​​pelo desenvolvimento e execução do serviço. No total, 70 endereços foram pesquisados ​​em todo o mundo.

Coincidindo com as prisões, o LabHost (“lab-host[.]ru”) e todos os seus grupos associados de sites de phishing foram confiscados e substituídos por uma mensagem anunciando sua apreensão.

O LabHost foi documentado no início deste ano pela Fortra, detalhando a segmentação do PhaaS de marcas populares globalmente por algo entre US$ 179 e US$ 300 por mês. Ele surgiu pela primeira vez no quarto trimestre de 2021, coincidindo com a disponibilidade de outro serviço PhaaS chamado Frappo.

“A LabHost divide seus kits de phishing disponíveis entre dois pacotes de assinatura separados: uma assinatura norte-americana que abrange marcas dos EUA e do Canadá, e uma assinatura internacional que consiste em várias marcas globais (e exclui as marcas da América do Norte)”, disse a empresa.

De acordo com a Trend Micro, o catálogo de modelos do bazar de phishing também se estendeu ao Spotify, serviços postais como DHL e An Post, serviços de pedágio e seguradoras, além de permitir que os clientes solicitassem a criação de páginas de phishing personalizadas para marcas-alvo.

“Como a plataforma cuida da maioria das tarefas tediosas no desenvolvimento e gerenciamento da infraestrutura de páginas de phishing, tudo o que o agente malicioso precisa é de um servidor virtual privado (VPS) para hospedar os arquivos e a partir do qual a plataforma pode ser implantada automaticamente”, disse a Trend Micro .

afp

As páginas de phishing – cujos links são distribuídos por meio de campanhas de phishing e smishing – são projetadas para imitar bancos, entidades governamentais e outras grandes organizações, enganando os usuários para que insiram suas credenciais e códigos de autenticação de dois fatores (2FA).

Os clientes do kit de phishing, que compreende a infraestrutura para hospedar sites fraudulentos, bem como serviços de geração de conteúdo de e-mail e SMS, poderiam então usar as informações roubadas para assumir o controle das contas online e fazer transferências de fundos não autorizadas das contas bancárias das vítimas.

As informações capturadas incluíam nomes e endereços, e-mails, datas de nascimento, respostas a perguntas de segurança padrão, números de cartão, senhas e PINs.

“O Labhost ofereceu um menu de mais de 170 sites falsos, fornecendo páginas de phishing convincentes para seus usuários escolherem”, disse a Europol , acrescentando que agências de segurança de 19 países participaram da interrupção.

“O que tornou o LabHost particularmente destrutivo foi sua ferramenta de gerenciamento de campanha integrada chamada LabRat. Esse recurso permitiu que os cibercriminosos que implantavam os ataques monitorassem e controlassem esses ataques em tempo real. O LabRat foi projetado para capturar códigos de autenticação de dois fatores e credenciais, permitindo que os criminosos contornassem medidas de segurança aprimoradas.”

Captura de tela 2024 10 01 100126

O Group-IB, que encontrou referências ao LabHost no Telegram datadas de 17 de agosto de 2021, disse que o LabRat era um dos muitos serviços anunciados pelo grupo, sendo os outros o LabCVV (loja de cartão de crédito), o LabSend (sistema de entrega de spam por SMS/MMS) e o LabRefund (canais do Telegram e grupos privados onde criminosos ensinam seus clientes a utilizar dados roubados).

Dizem que a infraestrutura de phishing da LabHost inclui mais de 40.000 domínios. Mais de 94.000 vítimas foram identificadas na Austrália e aproximadamente 70.000 vítimas do Reino Unido foram encontradas inserindo seus detalhes em um dos sites falsos.

A Polícia Metropolitana do Reino Unido disse que o LabHost recebeu cerca de £ 1 milhão ($ 1.173.000) em pagamentos de usuários criminosos desde seu lançamento. Estima-se que o serviço tenha obtido 480.000 números de cartão, 64.000 números PIN, bem como nada menos que um milhão de senhas usadas para sites e outros serviços online.

Uma análise das carteiras de criptomoedas identificadas pela LabHost feita pela Chainalysis revelou o recebimento de mais de US$ 1,1 milhão em moeda virtual, abrangendo milhares de transferências, a maior parte representando a taxa mensal paga por seus clientes.

“A LabHost então enviou a maioria desses fundos para algumas exchanges tradicionais, presumivelmente para serem sacados, bem como para um mixer popular, provavelmente para lavar os fundos e ofuscar suas origens”, disse a empresa de análise de blockchain . “Como muitas organizações cibercriminosas, a LabHost utilizou uma variedade de serviços de terceiros e provedores de infraestrutura.”

Além disso, muitos dos cibercriminosos que usaram o LabHost também parecem ter sido clientes do iSpoof , um serviço ilegal de falsificação de números de telefone online que foi desmantelado pela polícia em novembro de 2022. Nada menos que 20 carteiras foram observadas realizando transações com o iSpoof e o LabHost, enviando e recebendo coletivamente mais de US$ 5,3 milhões em Bitcoin.

Plataformas PhaaS como LabHost diminuem a barreira de entrada no mundo do crime cibernético, permitindo que atores de ameaças aspirantes e não qualificados montem ataques de phishing em escala. Em outras palavras, um PhaaS torna possível terceirizar a necessidade de desenvolver e hospedar páginas de phishing.

“O LabHost é mais um exemplo da natureza sem fronteiras do crime cibernético e a derrubada reforça os resultados poderosos que podem ser alcançados por meio de uma frente policial global e unida”, disse o comissário assistente interino do Comando Cibernético da AFP, Chris Goldsmid.

O desenvolvimento ocorre no momento em que a Europol revela que as redes criminosas organizadas estão cada vez mais ágeis, sem fronteiras, controladoras e destrutivas (ABCD), ressaltando a necessidade de uma “resposta concertada, sustentada e multilateral e de cooperação conjunta”.

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

phishing

Ferramentas gratuitas de phishing do Sniper Dz alimentam mais de 140.000 ataques cibernéticos direcionados a credenciais de usuários

Sticky 01/10/2024

Mais de 140.000 sites de phishing foram encontrados vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de criminosos cibernéticos para realizar roubo de credenciais. “Para possíveis phishers, o Sniper Dz oferece um painel de administração online com um […]