Serviço de phishing LabHost com 40.000 domínios interrompidos, 37 presos

Tweet

A plataforma de phishing como serviço (PhaaS) LabHost foi interrompida em uma operação global de aplicação da lei que durou um ano e que comprometeu a infraestrutura e prendeu 37 suspeitos, entre eles o desenvolvedor original.

A plataforma de phishing foi lançada em 2021 e permitiu que os cibercriminosos pagassem uma taxa de assinatura mensal para lançar ataques eficazes usando uma variedade de kits de phishing para bancos e serviços na América do Norte.

LabHost também ofereceu infraestrutura para hospedagem de páginas de phishing e geração e distribuição automática de e-mails de phishing, permitindo que cibercriminosos pouco qualificados uma maneira fácil de realizar ataques.

Em fevereiro de 2024, a empresa de segurança digital  Fortra alertou que o LabHost estava se tornando uma plataforma PhaaS popular, superando outros players estabelecidos no mercado.

A recente operação internacional de aplicação da lei coordenada pela Europol começou há cerca de um ano e envolveu forças policiais e investigadores especiais em 19 países, bem como parceiros do sector privado como Microsoft, Trend Micro , Chainalysis, Intel 471 e The Shadowserver Foundation.

“A investigação descobriu pelo menos 40 mil domínios de phishing ligados ao LabHost, que tinha cerca de 10 mil usuários em todo o mundo”, diz o anúncio da Europol .

“Com uma taxa mensal média de US$ 249, a LabHost ofereceria uma gama de serviços ilícitos que eram personalizáveis ​​e poderiam ser implantados com apenas alguns cliques”.

A Europol destaca uma ferramenta particularmente poderosa chamada LabRat que fez com que o serviço se destacasse da concorrência. LabRat é uma ferramenta de gerenciamento de phishing em tempo real que permitiu que invasores capturassem tokens de autenticação de dois fatores (2FA) e ignorassem as proteções de contas.

Entre 14 e 17 de abril de 2024, forças policiais em todo o mundo realizaram buscas simultâneas em 70 endereços, prendendo 37 indivíduos suspeitos de estarem conectados ao serviço LabHost.

O Centro Australiano de Coordenação de Crimes Cibernéticos de Policiamento Conjunto (JPC3) também derrubou 207 servidores  que hospedavam sites de phishing criados por meio do serviço LabHost.

No Reino Unido, a Polícia Metropolitana anunciou que prendeu quatro indivíduos envolvidos na gestão do site do serviço juntamente com “o desenvolvedor original da plataforma”.

Até a remoção do LabHost, as autoridades estimavam que os operadores do serviço de crime cibernético haviam recebido US$ 1.173.000 de assinaturas de usuários.

Pouco depois de os agentes da lei assumirem o controlo da sua infra-estrutura, foram enviadas mensagens a 800 utilizadores para os avisar que serão objecto de futuras investigações.

Os investigadores também estabeleceram que a LabHost roubou aproximadamente 480.000 cartões de crédito, 64.000 PINs e um milhão de senhas para várias contas online.

É importante notar que o LabHost sofreu uma grande interrupção no ano passado, no início de outubro, o que levou muitos a dizer que a plataforma provavelmente era um golpe de saída.

No entanto, o serviço voltou a funcionar plenamente em 6 de dezembro de 2023. Não está claro se a interrupção estava ligada à atividade de aplicação da lei.

Fonte: bleepingcomputer.com